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内 容 提要 
本 书 详细 介绍 了 网 络 硬件 的 相关 知识 。 在 对 硬件 设备 、 相 关 技 术 及 规范 详尽 考据 的 同时 ， 侧 重 实 
践 ， 重 点 介绍 了 在 实际 网 络 建设 工程 中 使 用 的 硬件 设备 ， 辅 以 丰富 的 图 例 ， 使 网 络 硬件 的 真实 情况 一 
目 了 然 ， 并 深入 浅 出 地 解释 了 复杂 的 网 络 术语 ， 因 此 对 于 想 了 解 实际 网 络 设备 的 读者 来 说 是 不 可 或 缺 
的 参考 资料 ， 也 可 作为 大 学 课程 《计算 机 网 络 》 的 扩展 读物 。 本 书 还 介绍 了 大 量 非 思 科 设 备 和 数据 通 
信和 领域 的 知识 ， 对 于 学 习 CCNA、CCIE 等 的 读者 和 相关 工程 技术 人 员 也 很 具有 参考 价值 。 
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译 者 序 








众所周知 ，IT 行 业 是 一 个 变化 非常 快 的 行业 ,计算 机 网 络 作为 其 中 的 一 个 分 支 尤 为 明显 ， 
这 一 点 从 业内 赫赫 有 名 的 思科 公司 网 络 工程 师 认 证 有 效 期 只 有 短 短 两 年 便 可 见 一 王 。 正 是 这 飞速 
变化 的 特性 ， 导 致 网 络 硬件 设备 的 更 新 换代 也 日 新 月 异 、 千 变 万 化 ， 从 而 让 很 多 初学 者 在 学 习 了 
基本 网 络 原 理 后 ， 对 实际 的 计算 机 网 络 依然 是 一 知 半 解 ， 尤 其 是 对 其 中 各 类 网 络 硬件 设备 的 认识 
更 是 犹如 浮光掠影 ， 这 同 初学 者 深入 掌握 计算 机 网 络 技术 的 肌 切 期 望 形 成 了 巨大 的 矛盾 。 

学 习 技术 的 道路 上 没有 所 谓 的 银 弹 ， 相 信 本 书 能 够 在 很 大 程度 上 解决 这 个 和 矛盾， 帮助 读 者 扫 
清 学 习 计 算 机 网 络 技术 时 遇 到 的 某 些 障碍 。 

技术 无 国界 ， 本 书 作 者 三 轮 贤 一 曾 从 事 ATM 交换 设备 中 TCP/IP 模块 的 开发 ， 长 期 在 硅谷 
网 络 设备 公司 日 本 分 公司 任职 ， 是 一 名 资深 的 业内 人 士 。 同 其 他 介绍 计算 机 网 络 知识 的 图 书 相 
比 ， 本 书 在 谋 篇 布局 上 以 OSI 网 络 七 层 模型 中 各 层 所 涉及 的 硬件 设备 为 主线 ， 依 次 介绍 了 在 实际 
组 网 工程 中 使 用 的 各 个 硬件 设备 一 一 交换 机 、 路 由 器 、 防 火 墙 等 ， 还 使 用 了 一 个 章节 的 篇 幅 介 绍 
了 网 络 硬件 设备 在 采购 、 运 维 方面 的 注意 事项 ， 层 次 分 明 、 具 体 真实 ,不 再 “故弄玄虚 ”; 在 人 氢 
述 的 方式 方法 上 ， 本 书 不 但 通过 大 量 实物 照片 、 详 实 参 数 、 图 表 等 充分 还 原 了 那些 在 计算 机 网 络 
原理 中 提 到 的 种 种 “理论 ”网 络 设备 ， 而 且 在 其 中 大 量 穿 插 介 绍 了 各 类 设备 所 涉及 的 进 阶 网 络 基 
础 知识 和 概念 ， 如 VPN、QoS、OSPF、RIP、MPLS 等 ， 理 论 结合 实 践 ， 不 再 “纸上谈兵 "; 除 
此 之 外 ， 本 书 还 有 一 个 特色 是 作者 在 对 每 一 类 硬件 设备 展开 介绍 之 前 ， 总 会 用 相当 的 篇 幅 来 回顾 
一 下 该 类 设备 的 发 展 历史 ,不惜 笔墨 地 介绍 该 类 设备 的 技术 沿革 和 所 涉及 的 重要 人 物 、 公 司 及 标 
志 性 历史 事件 ， 在 帮助 读者 了 解 计算 机 网 络 技术 发 展 来 龙 去 脉 的 同时 ， 也 让 读者 慢 慢 体会 到 本 书 
在 非 技术 角度 所 反映 出 的 历史 人 文 底 草 ， 同 单纯 刻板 介绍 计算 机 网 络 设备 的 认证 教材 、 快 速 建 网 
睛 南 等 书籍 有 着 本 质 的 不 同 。 

综 上 所 述 ， 本 书 适合 以 下 读者 群体 : 

1. 对 于 学 习 了 计算 机 网 络 原理 ， 想 了 解 计 算 机 网 络 真 实 设备 情况 的 读者 来 说 是 不 可 或 缺 的 参 
考 资料 ， 也 可 作为 大 学 课程 《计算 机 网 络 》 的 扩展 读物 。 

2. 对 于 学 习 CCNA 、CCIE 等 的 读者 来 说 是 锦上添花 的 辅助 读物 。 

3. 对 于 从 事 计算 机 网 络 设备 开发 、 测 试 、 采 购 等 相关 工作 的 工程 技术 人 员 而 言 ， 也 非常 具有 
参考 价值 。 

译 者 在 从 事 了 多 年 网 络 设备 的 开发 和 测试 工作 后 ， 非 常 有 幸 能 够 翻译 这 么 一 本 书籍 。 与 此 同 
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iv | 译 者 序 


时 也 由 衷 感叹 ， 我 国 在 计算 机 网 络 工程 实践 的 技术 方面 ， 尤 其 在 我 国 计 算 机 网 络 硬件 设备 已 经 颇 
有 具 国际 苋 争 力 的 今天 ， 非 常 缺 乏 本 书 这 类 的 书籍 。 由 于 原作 者 的 局 限 性 ， 本 书 对 我 国 现 网 中 普遍 
使 用 的 华为 、 中 兴 、H3C 等 公司 生产 的 计算 机 网 络 硬件 设备 几乎 只 字 未 提 ， 这 一 点 不 得 不 说 非 
常 遗 憾 ， 不 过 译 者 也 相信 在 不 久 的 未 来 会 有 类 似 的 书籍 能 够 浆 补 这 一 空缺 。 

译 者 能 力 、 精 力 有 限 ， 本 书 若 有 错误 之 处 ， 望 各 位 读者 及 时 指出 ,不胜 感激 。 

最 后 ， 译 者 非常 感谢 在 翻译 本 书 过 程 中 ， 妻 子 所 给 予 的 默默 支持 ! 
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随 着 互联 网 的 普及 ， 在 企业 的 IT 部 门 以 及 系统 集成 商 中 专门 从 事 计算 机 网 络 工作 的 工程 师 
越 来 越 多 。 

目前 ,市 面 上 介绍 计算 机 网 络 技术 的 书籍 ， 几 乎 都 是 类 似 《 简 单 的 计算 机 网 络 入 门 》 这 种 适 
合 那 些 对 网 络 一 无 所 知 的 初学 者 的 入 门 书 , 或 者 是 《深入 学 习 TCP/IP 网 络 》 这 种 介绍 TCP/IP 技 
术 及 协议 规范 的 书籍 。 这 类 书 有 助 于 初学 者 从 网 络 用 户 或 管理 员 的 视角 来 思考 ， 建 立 必 要 的 知识 
体系 ， 因 此 一 般 被 用 作 学 校 教材 或 自学 读本 。 

但 是 在 企业 中 实际 使 用 计算 机 网 络 时 ， 除 了 需要 掌握 基础 知识 以 外 ， 还 需要 进一步 了 解 计算 
机 网 络 硬件 的 采购 、 配 置 、 设 置 、 使 用 管理 等 相关 知识 。 在 过 去 的 10~20 年 里 ,计算 机 网 络 硬件 
不 断 地 更 新 换代 ， 研发、 支持 的 功能 越 来 越 多 ， 产 品 操作 手册 也 越 来 越 厚 ， 但 术语 的 解释 说 明 却 
仍旧 荐 乏 ， 读 者 仅 靠 听课 或 自学 是 很 难 读 懂 这 些 手 册 的 。 
因此 ， 为 了 让 那些 有 一 定 计算 机 网 络 基 础 的 工程 师 掌握 更 加 具有 实践 性 的 产品 知识 ， 本 书 将 
重点 介绍 作为 网 络 构成 要 素 的 节点 ， 即 具体 的 网 络 设备 。 
因为 网 络 硬 件 应 用 于 不 同 的 领域 ， 所 以 本 书 将 围绕 以 下 要 点 来 介绍 各 个 产品 的 规格 及 功能 : 
在 该 领域 存在 怎样 的 硬件 产品 、 为 什么 需要 这 些 硬件 产品 、 这 些 产 品 的 结构 如 何 、 这 些 产 品 有 哪 
些 规格 和 局 限 性 等 。 
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网 络 ” 硬 
示 准 种 类 及 其 实现 方法 。 另 多 
电源 、 线 费 等 组 成 网 络 设备 所 需 
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网 络 是 一 个 很 大 的 概念 。 本 书 所 指 的 网 络 特 指 计 算 机 网 络 ， 需 要 和 
传统 的 电信 和 网络 加 以 区 分 。 下 文中 车 无 特别 说 明 ， 网 络 均 指 计算 机 
网 络 。 译 者 注 
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01.01 


01.01.01 


构建 网 络 所 需 的 硬件 一 般 包 括 交 换 机 、 路 由 器 等 网 络 硬件 ， 以 及 个 人 计算 机 、 
机 硬件 ， 这 些 硬件 统称 为 节点 ， 节 点 之 间 可 以 通过 链 路 进行 连接 ( 表 1-1 )。 


ED) 
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网 络 的 构成 要 素 


网 络 的 构成 要 素 


网 络 有 了 哪些 构成 要 素 



























































服务 需 等 计算 





节点 (node ) ”| 计算 机 、 交 换 机 、 路 由 器 等 构成 网 络 的 硬件 均 可 称 为 通信 

节点 

到 _ 链 路 
链 路 (link ) 泛 指 将 各 个 节点 进行 连接 的 逻辑 线路 ， 物 理 上 可 以 使 用 有 

线 线 费 或 者 无 线 电波 < 节点 
主机 (host) ”| 通过 网 络 为 其 他 机 器 提供 服务 的 计算 机 ， 也 称 为 服务 器 





























客户 端 ( client ) 





旨 从 主机 处 获得 服务 的 计 














终端 或 者 Terminal 


算 机 ( 如 个 人 计算 机 等 )， 也 称 为 











服务 请 求 
服务 响应 








国 客户 端 服务 器 型 与 点 对 点 型 














St 


客户 端 服务 器 型 

















方 和 服务 接受 方 的 架构 。 客 























E 直 分 布 或 功能 得 




















例如 : HTTP 通信 








分 布 系统 





户 端 向 服务 器 请 求 服务 ， 而 服务 器 响应 客户 端 


R 据 主机 和 客户 端 承 担 角 色 的 不 同 ， 可 以 将 网 络 分 为 客户 端 服务 器 型 和 点 对 点 型 ( 表 1-2 )。 


客户 端 服 务 器 型 与 点 对 点 型 


一 种 严格 区 分 服务 提供 
的 服务 请 求 。 也 称 为 寻 








点 对 点 型 





























例如 : Skype 通信 





国 LAN 和 WAN 
在 公司 或 学 校内 构建 的 LAN (Local Area Network， 局 域 网 ) 与 通信 服务 供应 商 提供 的 WAN 
(Wide Area Network， 广 域 网 ) 有 很 大 的 不 同 ( 表 1-3 )。 
在 大 部 分 情况 下 ，LAN 可 以 使 用 以 太 网 帧 格式 的 以 太 网 ( Ethernet ) 协议 标准 进行 通信 , 在 
网 络 中 还 能 够 使 用 支持 该 标准 的 交换 机 和 路 由 器 。 而 使 用 线 绕 连接 的 LAN 时 ， 用 户 的 个 人 计算 








一 种 不 严格 区 分 服务 








提供 方 和 服务 接受 方 的 架构 。 参 与 网 络 的 计算 机 可 能 成 为 网 络 中 的 服务 器 ， 
也 可 能 成 为 网 络 中 的 客户 端 。 也 称 为 水 平分 布 或 功能 水 平分 布 系统 
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机 则 可 以 通过 以 太 网 线 ( 双 绞 线 ) 连接 交换 机 ， 然 后 由 交换 机 连接 路 由 器 ， 最 终 在 路 由 需 处 理 跨 
越 异 构 子 网 和 发 送 至 互联 网 的 通信 

而 MAN (Metropolitan Area Network， 城 域 网 ) 和 WAN 是 在 地 理 位 置 相距 较 远 的 各 点 间 建 
立 起 的 计算 机 通信 和 网络 。 比 如 ， 一 个 大 型 企业 的 总 部 与 各 个 分 部 的 连接 就 会 使 用 WAN。WAN 服 
务 如 表 1-4 所 示 ， 有 很 多 种 类 。 使 用 方 可 以 根据 连接 组 网 的 地 点 能 否 使 用 该 服务 、 通 信 速 度 、 可 
性 、 租 用 资费 等 情况 进行 选择 。 

可 以 将 互联 网 理解 为 全 世界 范围 内 WAN 的 互联 。 家 庭 或 者 企业 在 连接 互联 网 时 ， 需 要 与 供 
应 商 (ISP， 互 联网 服务 供应 商 ) 签订 合同 ， 通 过 供应 商 提 供 的 接 入 点 来 完成 连接 。 而 接 和 人 点 的 
连接 则 需要 通过 电信 运营 商 ”提供 的 承载 服务 来 完成 ， 承 载 服务 包括 光缆 线路 、ADSL、 移 动 通 
信 网 、 公 共 无 线 LAN 等 。 

LAN/MAN/WAN 
英语 全 称 说 明 


Local Area Network 机 构 内 部 通信 与 信息 传递 。 常 使 用 以 太 网 技术 在 公司 或 学 校 等 局 部 的 地 理 
用 内 构建 网 络 。LAN 分 为 使 用 线 绕 的 有 线 LAN 和 使 用 电波 的 无 线 LAN。 一 
内 部 使 用 私有 IP 地 址 


Metropolitan Area Network 在 相距 较 远 的 校园 园区 或 城市 内 建立 通信 的 网 络 ， 比 LAN 的 范围 要 广 
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Wide Area Network 范围 比 LAN 和 MAN 都 要 广 于 跨 地 区 或 国家 间 远 程 通 信 。 一般 言 运 


































































































商 建 设 。 在 WAN 中 可 以 使 用 全 局 IP 地 址 进行 通信 














WAN 服务 的 种 类 



















































































































































































































































































用 途 WAN 服务 电信 运营 商 
最 后 一 公里 接 入 “| 光纤 T 东 日 本 、NTT 西日本 、KDDI、 软 银 、 电 力 公司 
ADSL T 东 日 本 、NTT 西日本 、KDDI、 软 银 、 电 力 公司 
移动 通信 WiMAX UO WiMAX 
3G NTT DoCoMo、KDDI ( au )、 软 银 、E-mobile 
公共 无 线 LAN DoCoMo、KDDI (au )、 软 银 、NTT 通信 
VPN 广 域 以 太 网 东 日 本 、NTT 本 、NTT 通信 
IP-VPN 通信 
以 太 网 VPN 通信 
专线 ATM TT 东 日 本 、NT 本 
数据 专线 TT 东 日 本 、NT 本 














@ 在 中 国 ， 一 般 ISP 和 电信 运营 商 是 同一 家 公司 ， 如 中 国电 信 、 中 国联 通 等 。ISP 中 较为 著名 的 有 歌华 宽带 、 长 城 宽 带 


等 。 一 一 译 者 注 
@ 在 中 国 ， 三 大 运营 商 (中 国 移动 、 中 国联 通 、 中 国电 信 ) 提 供 表格 中 所 述 的 业务 。 








译 者 注 
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01.01.02 ”OSI 参考 模型 复习 


国 OSI 参考 模型 

在 20 世纪 70 年 代 ， 部 分 企业 为 了 降低 成 本 、 提 高 生产 效率 而 引入 了 当时 最 新 开发 出 的 
以 太 网 技术 和 TCP 协议 等 。 但 当时 使 用 的 网 络 协议 主要 有 IBM 公司 的 SNA、Apple 公司 的 
AppleTalk、Novell 公司 的 NetWare、 美 国 DEC 公司 的 DECnet 等 。 它 们 使 用 的 网 络 硬件 也 因 不 
同 的 生产 厂商 而 大 相 径 庭 ， 因 此 出 现 了 不 同 网 络 之 间 不 能 互联 以 及 扩容 困难 的 问题 。 

为 了 解决 这 一 问题 ， 使 得 任何 厂商 生产 的 网 络 硬件 之 间 都 能 够 互联 和 互通， 从 1977 年 开 
始 , ISO (国际 标准 化 组 织 ) 与 CCITT (国际 电报 电话 咨询 委员 会 ， 现 在 的 ITU-TY ) 逐步 展开 
了 制定 异种 网 络 系 统 结构 标准 的 工作 ， 当 时 完成 的 标准 化 的 协议 簇 称 为 OSI ( Open Systems 
Interconnection， 开 放 系 统 互联 )。 到 了 1983 年 ， 两 大 标准 组 织 在 该 问题 上 达成 一 致 >， 制 定 了 称 
为 OSI 基本 参考 模型 ( Basic Reference Model for Open Systems Interconnection，OSI 参考 模型 或 
OSI 模型 ) 的 分 层 网 络 模型 。 该 标准 最 终 成 文 于 ISO 的 ISO7498 与 CCITT 的 X.200。 

准确 地 说 ，OSI 参考 模型 是 仅 对 应 OSI 协议 复 的 分 层 模型 ，TCP/PP 等 其 他 协议 簇 也 会 多 次 
提 及 该 标准 。 如 L3 交换 机 中 的 L3 表示 该 交换 顺 处 理 到 OSI 参考 第 3 层 ( Layer 3 ) 为 止 。 类 似 
这 样 ， 将 OSI 模型 的 术语 作为 网 络 术语 使 用 的 例子 非常 普遍 。 

使 用 分 层 结构 模型 具有 以 下 优点 。 























JW 根据 网 络 实际 处 理 过 程 ， 按 功能 分 类 ， 从 而 便于 理解 和 掌握 。 
@) 能 够 定义 标准 接口 ， 使 不 同 厂商 制造 的 硬件 之 间 可 以 互联 。 

@) 工程 师 在 设计 与 研发 网 络 硬件 时 ， 可 以 把 思维 限定 在 一 定 范 围 内 。 
(@ 当 某 层 内 部 发 生变 化 时 ， 不 会 给 其 他 层 带 来 影响 。 




















由 于 OSI 参考 模型 是 ISO 制定 的 ， 因 此 所 有 的 内 容 均 用 英语 表述 。 该 模型 中 的 7 层 分 别 表 
示 为 LI1 (Layer 1= 物理 层 )、L2 ( Layer 2= 数据 链 路 层 ) …… 〈 表 1-5 )。 





@ 即 国际 电信 联盟 远程 通信 标准 化 组 织 ， 是 制定 通信 网 络 标准 的 最 高 组 织 。 译 者 注 

@ 最 初 ， 两 大 标准 化 组 织 关注 的 领域 不 同 ， 国 际 电报 电话 咨询 委员 会 侧重 传统 电信 网 络 的 标准 制定 ，ISO 则 制定 更 高 层 
面 的 网 络 互联 互通 标准 。 但 后 来 随 着 网 络 技术 的 发 展 ， 在 网 络 规范 的 部 分 二 者 界限 越发 模糊 ， 出 现 了 二 者 互 融 的 情 
形 ， 最 终 该 模型 以 两 大 组 织 颁 布 不 同 的 文件 来 确认 而 收尾 。 译 者 注 
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OSI 参考 模型 分 层 












































































































































































































































































































































































































































































































































































































































各 层 简称 正式 名 称 说 明 

第 1 层 物理 层 与 数据 处 理 没 有 直接 关系 。 该 层 定义 了 发 起 、 维 持 和 结束 终端 系统 间 

Layer 1 ( Physical Layer ) 物理 连接 的 电气 特性 、 机 械 特 性 、 步 骤 、 功 能 等 规格 。 具 体 而 言 ， 该 

L1 定义 电 平 大 小 、 电 平 变化 时 机 、 物 理 数据 传输 速率 、 最 长 通信 距离 、 
连接 器 的 物理 形状 等 内 容 。 该 层 传输 的 数据 为 0 或 1， 也 称 为 比特 序 
列 ( 比特 流 ) 

第 2 层 数据 链 路 层 保障 数据 在 通信 介质 ( 通信 线 缆 等 ) 上 传输 。 通 过 物理 层 地 址 

Layer 2 ( Data-link Layer ) ( 如 MAC 地 址 ) 来 确认 数据 会 发 送 至 何 处 。 该 层 传输 的 数据 称 为 帧 

L2 ( Frame ) 

第 3 层 网 络 层 定义 两 个 终端 系统 之 间 ( 地 理 上 距离 很 远 ， 可 能 还 有 其 间 经 过 多 个 网 络 

Layer 3 ( Network Layer ) 硬件 的 情况 ) 的 连接 和 传输 路 径 的 选择 ( 路 由 ) 

L3 

第 4 层 传输 层 ， 茂 通 言 实现 的 细节 ， 向 上 层 提供 数据 通信 服务 。 为 了 实现 高 可 靠 性 

Layer 4 (Transport Layer ) 通信 ， 该 层 负 责 建 立 、 维 持 、 释 放 虚 电路 ( Virtual Circuit )， 检 测 并 

L4 oo 言 故 障 ， 提 供 流 量 控制 服务 以 防止 通信 对 方 数 据 溢出 

第 5 层 会 话 层 规定 了 通信 开始 与 结束 时 发 送 数据 的 形式 等 内 容 。 在 该 层 内 建立 逻辑 

Layer 5 ( Session Layer ) 上 的 通信 和 链 路 。 会 话 ( Session ) 是 指 在 两 个 通信 系统 之 间 进 行 逻辑 通 

L5 信 从 开始 到 结束 的 过 程 

第 6 层 表示 层 定义 传输 数据 所 使 用 的 压缩 方式 以 及 数据 的 表现 形式 等 

Layer 6 ( Presentation Layer ) 

L6 

第 7 层 应 定义 电子 邮件 SMTP、 文 件 传输 的 FTP、 使 用 Web 浏览 器 浏览 网 页 的 

Layer 7 ( Application Layer ) HTTP 等 特定 目的 的 软件 规格 

| 











OSI 参考 模型 对 应 的 数据 形式 与 网 络 协议 范例 
数据 形式 主要 网 路 协议 


比特 流 ( 0 与 1 的 序列 ) EIA/TIA-232 ( RS-232C )、V.35、V.24、|1|EEE 802.3、 
FDDI、NRzZ 等 

















项 IEEE 802.2、 帧 中 继 、ATM、PPP、HDLC 等 
分 组 、 数 据 报 IP、IPX、X.25 等 











段 、 消 息 TCPR、UBDP' 等 

数据 58L 等 

数据 ASCIl 编码 、EBCDIC 编码 等 
数据 HTTP、FTP、SMTP、SNMP 等 
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L2~L4 的 数据 形式 


























分 组 有 效 载荷 


民 






































以 太 网 六 





















































Y 
TCP 段 





ee 
以 太 网 帧 格式 


国 TCP/IP 层 模型 

TCP 分 层 模型 是 1970 年 DARPA ( 美国 国防 先进 研究 项 目 局 ) 设计 的 、 在 RFC1122 中 定义 的 
网 络 分 层 模 型 ， 也 可 称 为 TCP/IP 模型 、 互 联网 模型 等 ， 该 模型 在 不 同文 献 中 的 表述 也 有 所 不 同 
( 表 1-7、 表 1-8 )。 


本 也》 OSI 参考 模 型 与 TCP/IP 分 层 模型 的 对 应 



























































































































































OSI 各 层 名 称 TCP/IP 各 层 名 称 

物理 层 数据 链 路 层 ( 网 络 接口 层 、 网 络 接 入 层 )* 

数据 链 路 层 

网 络 层 网 络 层 

传输 层 传输 层 

会 话 层 心 用 层 

表示 

Ry 

注 1: TCP/IP 分 层 模 型 的 数据 链 路 层 同 OSI 参考 模型 的 物理 层 地 位 相当 ， 但 并 没有 对 硬件 以 及 物理 数据 传输 等 进行 标准 

化 定义 。 


TCP/IP 分 层 模型 与 所 对 应 的 网 络 硬件 




















































































































分 层 地 址 对 应 的 网 络 硬件 
数据 链 路 层 ( 网 络 接口 层 ) | MAC 地 址 L2 交换 机 、 无 线 LAN 接 入 点 
让 络 层 IP 地 址 路 由 器 、L3 交换 机 
传输 层 端口 号 ( TCP 端口 、UDP 端口 ) | L4 交换 机 、 防 火 墙 
以 根据 应 用 程序 的 不 同 而 不 同 L7 交换 机 、 防 火 墙 、 代 理 
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01.02 LAN 和 以 太 网 


01.02.01 LAN 的 标准 


国 DIX 标准 

以 太 网 (CSMA/CD ) 以 美国 施乐 公司 (Xerox ) 帕 罗 奥 多 研究 中 心 的 罗伯特 梅 特 卡 夫 
( Robert Metcalfe ) 博士 所 设计 的 功能 为 原型 ， 由 IEEE 于 1973 年 组 织 发 布 。 当 时 的 施乐 公司 正在 
开发 将 大 楼 内 部 数 百 台 计 算 机 进行 联网 的 项 目 ， 为 了 将 不 同 制造 厂商 生产 的 设备 进行 连接 ,美国 
DEC 公司 、Intel 公司 、 施 乐 公司 共同 完成 了 以 太 网 的 标准 化 工作 *。 这 份 10Mbit/s 的 以 太 网 标准 
的 命名 取 自 三 家 公司 的 首 字 母 ， 被 称 为 DIX 以 太 网 。 这 份 标准 作为 标准 化 文件 在 1980 年 发 布 了 
第 1 版 ,之 后 又 在 1982 年 发 布 了 第 2 版 。 现 在 人 们 常 说 的 DIX 以 太 网 指 的 是 第 2 版， 因此 本 文 
中 所 提 到 的 以 太 网 帧 格式 也 被 称 为 Ethernet I 成 帧 。 

















国 IEEE 802.3 

1980 年 2 月 ，IEEE 的 802 委员 会 (委员 会 的 名 称 由 会 议 召 开 的 年 份 和 月 份 组 成 ) 制定 了 
LAN 技术 的 国际 标准 。1983 年 又 以 DIX 以 太 网 第 2 版 为 原型 ， 制 定 了 IEEE 802.3 (10BASE5 ) 
标准 。IEEE 802.3 中 的 帧 格式 取消 了 DIX 以 太 网 标准 中 的 以 太 网 类 型 字段 ， 取 而 代 之 的 是 使 用 
表示 数据 域 长 度 的 字段 (图 1-3 )。 


OSI 参考 模型 与 DIX 以 太 网 以 及 IEEE 802 的 关系 


OSI 参考 模型 DIX DIX IEEE 802 













































| IEEE 8022 


IEEE 802.1 BRIDGING 
IEEE 
802.4 


IEEE | IEEE |IEEE | IEEE 
802.5| 802.6|802.9 802.11 

中 这 段 历史 很 有 意思 。 这 次 标准 化 工作 中 还 有 一 家 十 分 重要 的 公司 的 参与 ， 即 从 施乐 公司 离职 的 罗伯特 。 梅 特 卡 夫 博士 

创建 的 3COM 公司 。 译 者 注 





数据 链 路 层 





IEEE 
802.12 


IEEE 
802.14 
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攻 j 以太 网 帧 格式 
@ DIX 以 太 网 






































8 位 6 6 2 46 ~1500 4 
首部 | “日 的 地 址 | 源 地 址 着。 数据 | Fcs 
※ “类 型 ”字段 的 数值 在 1500 以 上 。 
® IEEE 802.3 
7 位 1 6 6 2 46 ~1500 4 
源 地 址 长 度 /类 型 | ”数据 /LLC 








※ “长 度 / 类 型 ”字段 的 数值 在 1500 以 下 时 表示 长 度 字段 ， 在 1563 以 上 时 表示 类 型 字段 ， 寺 





国 以 太 网 的 标准 




















fF 进 行 相应 的 解析 。 


以 太 网 原本 仪 指 使 用 CSMA/CD 传输 媒介 的 控制 方式 ， 实 际 通信 速率 为 10Mbit/s 的 标准 ( 表 
1-9 中 的 狭义 以 太 网 )。 随 着 时 间 的 推移 ， 同 样 使 用 CSMA/CD 技术 以 及 以 太 网 帧 格式 ， 但 通信 速 
而 且 从 快速 以 太 网 开始 ， 


率 为 100Mbit/s 的 快速 以 太 网 和 速率 为 1Gbit/s 的 千 兆 以 太 网 逐步 登场 。 
还 出 现 了 采用 了 全 双 工 通信 方式 ， 而 不 是 CSMAVCD 技术 的 以 太 网 。 





























到 千 兆 以 太 网 ， 半 双 工 通信 中 依然 保留 了 CSMA/VCD 技术 规范 ; 到 了 万 兆 以 太 网 ， 就 彻底 移 
除了 CSMA/CD 规范 ， 所 有 通信 方式 均 采 用 全 双 工 方式 。 
目前 ， 以 太 网 这 一 术语 一 般 用 来 表示 图 1-3 中 使 用 以 太 网 帧 格式 进行 通信 的 网 络 ( 即 表 1-9 
中 的 广义 以 太 网 )。 


以 太 网 的 分 类 







































































































































广义 以 太 网 狭义 以 太 网 DIX 以 太 网 0Mbits 以 太 网 CSMA/CD 
IEEE 802.3 
IEEE 802.3u 00Mbit/s 以 太 网 可 以 选择 使 用 CSMA/CD 
IEEE 802.3z Gbit/s 以 太 网 
IEEE 802.3ae 0Gbit/s 以 太 网 不 使 用 CSMACD 
IEEE 802.3ba 40/100Gbit/s 以 太 网 





IEEE 802.3 标准 根据 使 用 的 传输 线 绕 和 传输 速度 的 不 同 ， 有 10BASE-T、 


称 。 命 名 规则 如 图 1-4 所 示 ， 规 则 更 为 详细 的 信息 如 表 1-10~1-14 所 示 。 


标准 的 命名 规则 
1000 BASE-SX 


速度 ， 调制 方式 “传输 媒介 编码 体系 ，lanen 


TS 


40GBASE-LR4 





中 Lane 是 在 40G/100G 以 太 网 传输 媒介 中 使 用 的 并 行 传输 通道 。 








10BASE-TX 等 名 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 





01.02 LAN 和 以 大 网 | 9 


IEEE 802.3 定义 的 链 路 速率 






































条 目 传输 速率 
1Mbit/s 
0 10Mbit/s 
00 OO0Mbit/s 
000 1Gbit/s 
0G 0Gbit/s 
40G 40Gbit/s 
00G 100Gbit/s 
* 速率 表 项 (传输 速率 使 用 M (G ) bit/s 为 单位 表示 ) 


IEEE 802.3 定义 的 调制 方式 








IEEE 802.3 定义 的 传输 媒介 
传输 媒介 








最 长 为 500 米 的 粗 同 轴线 缆 

最 长 为 185 米 的 细 同 轴线 缆 

Twisted Pair ( 双 绞 线 ) 

Fiber ( 光纤 ) 

Copper Backplane ( 由 铜 线 组 成 的 背 板 ) 












































Bi-directional ( 1 芯 单 
Short Reach ( 100m ) ( 2 芯 多 模 光 缆 ) 

Long Reach ( 10km ) ( 2 芯 单 模 或 多 模 光 缆 ) 
Extended Long Reach ( 40km ) ( 2 芯 单 模 光 缆 ) 
Long Reach Simple Mode ( 70km ) (2 忌 单 模 光 费 ) 
Co-axial ( 2 芯 平衡 式 屏蔽 同 轴线 缆 ) 

PON ( 1 芯 单 模 光 缆 ， 单 点 到 多 点 ) 












































| | 中 本 | 区 

















IEEE 802.3 定义 的 编码 体系 














壬 快速 以 太 网 时 使 用 4B/5B 作为 分 组 码 
芋 千 兆 以 太 网 时 使 用 8B/10B 作为 分 组 码 
64B/66B 作为 分 组 码 
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E 洒 四 C》 IEEE 802.3 定义 的 lane 


























条 目 编码 体系 
4 或 者 10 在 同 轴线 缆 中 表示 使 用 4 个 或 者 10 个 lane 
N ( 任意 数字 ) 在 光纤 中 ，lane 还 可 以 表示 波长 数量 。 波 长 为 “1” 时 ， 可 以 省 略 











01.02.02 以 太 网 


国 10Mbit/s 以 太 网 

最 初 的 IEEE 802.3 标准 被 称 为 10BASE5， 传输 速率 为 10Mbit/s， 使 用 粗 同 轴线 缆 作 为 网 络 
传输 媒介 。1988 年 ，IEEE 802 委员 会 增加 了 10BASE2 ( 802.3a ) 标准 ， 以 更 方便 的 细 同 轴线 缆 作 
为 传输 媒介 。1990 年 又 制定 了 10BASE-T ( 802.3i ) 标准 ， 以 成 本 更 为 低廉 、 制 造 也 颇 为 简单 的 双 
绞 线 作为 传输 媒介 。 由 于 这 一 标准 实施 便捷 ， 很 快 便 普及 开 来 。 在 该 标准 下 ， 以 太 网 拓扑 结构 也 
从 之 前 使 用 同 轴线 缆 的 总 线 型 网 络 ， 向 使 用 集线器 交换 机 的 新 型 网 络 过 渡 。 

1993 年 ， 委 员 会 制定 了 使 用 光纤 作为 传输 媒介 的 10BASE-F ( 802.3j ) 标准 。 在 这 之 前 ， 以 
太 网 的 建 网 规模 最 大 也 不 过 覆盖 方 加 数 百 米 ， 但 是 通过 10BASE-F 标准 ， 最 长 传输 距离 延长 至 
2km。 

表 1-15 总 结 了 速率 为 10Mbit/s 的 以 太 网 的 发 展 历史 ， 表 1-16 总 结 了 主要 10Mbit/s 以 太 网 的 
标准 。 
10Mbit/s 以 太 网 的 历史 

标准 制定 年 份 内 容 

Alto Aloha Network 972 自 参考 了 施 开发 的 Alto 计算 机 、 打 印 机 等 设备 进行 网 络 互 联 的 方案 。 
专 输 速率 人 Alto 的 系统 时 钟 ， 能 够 达到 2.94Mbit/s 
以 太 网 973 于 Alto 以 外 的 计算 机 网 络 互联 。 以 设想 的 用 来 传播 电磁 波 的 物质 以 太 
( Ether ) 来 命 





























































































































Experimental Ethernet 976 自 发 表 于 NCC ( National Computer Conference 


















































DIX 以 太 网 Ver.1.0 980 自 美国 DEC 公司 、Intel 公司 、 施 乐 公司 三 家 公司 制定 的 标准 
线 缆 传 输 。 传 输 速 率 为 10Mbit/s 
DIX 以 太 网 Ver.2.0 982 年 也 称 为 Ethernet ||。 如 今 专 指 DIX 以 太 网 标准 
IEEE 802.3 ( 10BASE5 ) 983 年 IEEE 802 工程 委员 会 制定 的 标准 ( 与 DIX 以 太 网 Ver2.0 几乎 完全 一 致 ) 
IEEE 802.3a ( 10BASE2 ) 988 年 细 同 轴线 缆 作 为 传输 媒介 的 标准 
IEEE 802.3i ( 10BASE-T ) 990 年 双 绞 线 作 为 传输 媒介 的 标准 
IEEE 802.3j ( 10BASE-F ) 993 自 光缆 作为 传输 媒介 的 标准 







































































































































































中 该 物质 最 终 被 证 明 不 存在 。 





译 者 注 
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主要 的 10Mbit/s 以 太 网 的 标准 
























































条 目 制定 年 代 IEEE 标准 传输 速率 编码 传输 媒介 最 大 传输 距离 
10BASE5 1983 年 |IEEE 802.3 10Mbit/s 曼彻斯特 粗 同 轴线 缆 ( Thick Cable | 500m 
也 叫做 Yellow Cable ) 
10BASE2 1988 年 IEEE 802.3a | 10Mbit/s 曼彻斯特 细 同 轴线 缆 ( Thin Cable ) | 185m 
10BASE-T 1990 年 IEEE 802.31 | 10Mbit/s 曼彻斯特 双 绞 线 ( UTP ) 100m 
10BASE-F 1993 年 IEEE 802.3j | 10Mbit/s 曼彻斯特 光缆 ( MMF ) 2km 
国 快速 以 太 网 


1995 年 ， 传 输 速率 达到 100Mbit/s 的 快速 以 太 网 (Fast Ethernet ) 完成 了 标准 化 进程 ， 以 
100BASE-T 的 身份 加 入 了 以 太 网 家 族 。 在 快速 以 太 网 进入 市 场 后 ， 支 持 全 双 工 通信 的 交换 集 线 
器 取代 了 效率 低下 的 半 双 工 通信 的 收发 集线器 ， 逐 步 成 为 主流 。 

在 快速 以 太 网 标准 中 使 用 5 类 UTP 线 缆 的 100BASE-TX 应 用 最 为 普遍 ， 目 前 ， 几 乎 所 有 个 
人 计算 机 所 携带 的 网 卡 都 应 用 了 这 一 标准 。 

为 了 和 之 前 的 10BASE-T 兼 容 ，IEEE 802.3u 标准 还 定义 了 相应 的 自 适应 技术 标准 。 自 适应 技 
术 按照 表 1-19 的 顺序 通过 UTP 线 缆 两 端的 硬件 获取 信息 ， 这 些 信息 包括 该 网 络 是 使 用 10BASE-T 
还 是 100BASE-T， 全 双 工 还 是 半 双 工 通信 等 ， 以 此 决定 最 适合 该 网 络 的 通信 速率 来 连接 通信 。 

表 1-17 介绍 了 快速 以 太 网 的 历史 ， 表 1-18 总 结 了 主要 的 快速 以 太 网 的 标准 。 


快速 以 太 网 的 历史 



































































































































标准 制定 年 份 内 容 
IEEE 802.3u ( 100BASE-T ) 1995 年 传输 速率 为 100Mbit/s 的 快速 以 太 网 与 自 适应 技术 的 标准 化 
IEEE 802.3y ( 100BASE-T2 ) 1998 年 使 用 3 类 UTP 双 绞 线 的 快速 以 太 网 标准 











主要 的 快速 以 太 网 的 标准 


条 目 制定 年 代 | IEEE 标准 传输 速率 编码 传输 媒介 最 大 传输 距离 
00BASE-T 半 | 1995 和 IEEE 802.3u bi UTP 00m 














00BASE-TX bi 4B5B/MLT-3 | UTP(2 对 5 类 ) | 100m 
00BASE-T4 1 bi 又 半 | 8B6T/PAM-3 | UTP (4 对 3 类 ) | 100m 

















00BASE-FX 年 “| IEEE 802.3u 4B/5B NRZ| | 光缆 ( MMF ) | 400m ( 半 双 了 
2Km ( 全 双 工 
多 BASE 年 “| IEEE 802.3y | 100Mbi PAM5x5 UTP (2 对 3 类 ) | 100m 





















































注 1: 100BASE-T 是 100BASE-TX、100BASE-T4、100BASE-T2 的 统称 。 目 前 100BASE-T4、100BASE-T2 几乎 不 再 使 
用 ， 主 要 使 用 的 是 100BASE-TX。 
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快速 以 太 网 的 自 适应 优先 顺序 一， 
优先 级 以 太 网 通信 模式 
00BASE-T2 ( 全 双 工 ) 
00BASE-TX ( 全 双 工 ) 
00BASE-T2 ( 半 双 工 ) 
) 
) 




















( 

( 

(9 
00BASE-T4 ( 半 双 工 


00BASE-TX ( 半 双 工 
0BASE-T ( 全 双 工 ) 

















方 | 上 和 | 上 | | 认 























1 0BASE-T ( 半 双 工 ) 








注 1: 采用 连接 的 两 个 设备 中 最 高 优先 级 的 通信 模式 。 


国 干粮 以 太 网 

千 兆 以 太 网 的 最 初 标准 制定 于 1998 年 。 其 中 ,使 用 光纤 作为 传输 媒介 的 1000BASE-SX 和 
1000BASE-LX 标准 ， 与 使 用 双 绞 线 的 1000BASE-T 有 很 大 的 区 别 ( 表 1-21、 表 1-22 )。 

最 新 的 个 人 计算 机 已 经 安装 了 支持 10/100/1000BASE-T 千 兆 以 太 网 的 网 卡 。 这 种 
10/100/1000BASE-T 网 卡 是 指 能 够 自 适应 10BASE-T、100BASE-TX 以 及 1000BASE-T 这 3 种 传 
输 速 率 ， 并 且 能 够 自动 检测 出 是 半 双 工 还 是 全 双 工 的 网 络 接口 设备 。 

千 兆 以 太 网 标准 是 最 后 一 个 使 用 CSMA/CD 技术 方式 进行 通信 的 标准 。 由 于 CSMA/CD 所 使 
用 的 半 双 工 通 信 效 率 低 下 ， 后 续 的 标准 便 均 以 全 双 工 方式 予以 替代 。 

千 兆 以 太 网 还 拥有 如 表 1-20 所 列 出 的 可 选 功能 。 


干 兆 以 太 网 的 可 选 功能 





















































内 容 

在 千 兆 以 太 网 中 ， 被 称 为 512bit 时 间 的 CSMA/CD 冲突 检测 时 间 仅 有 极 短 的 512 纳 秒 ， 这 会 导致 硬 
件 在 侦 测 出 冲突 之 前 就 已 将 数据 全 部 发 出 ， 从 而 引起 网 络 事故 。 因 此 在 千 兆 以 太 网 标准 中 将 最 小 帧 
的 长 度 扩展 到 了 512bit， 当 发 送 不 足 512bit 的 数据 时 ， 自 动 将 其 扩展 到 512bit， 超 出 原 数据 的 填充 
( padding ) 部 分 称 为 载波 扩展 ( Carrier Extension ) 
于 防范 在 发 送 大 量 小 数据 帧 时 带 来 的 传输 速率 低下 的 问题 。 首 先 对 第 1 个 数据 帧 进行 载波 扩展 ， 
而 随后 的 数据 帧 无 需 扩展 ， 仅 将 短 帧 连续 发 送 。 最 大 能 够 一 次 性 发 送 8192bit 大 小 的 数据 帧 
将 以 太 网 最 大 的 数据 帧 长 度 从 1518bit 扩展 到 8 000~15 000bit， 从 而 提高 传输 效率 "。 但 巨型 帧 在 
EEE 802.3 系列 中 没有 明确 详细 的 标准 ， 这 使 得 各 个 通信 设备 制造 厂商 的 产品 实现 也 各 不 相同 ， 需 
在 使 用 之 前 确认 接收 方 设备 是 否 能 够 解析 该 类 巨型 帧 








































































































































































































































































































中 ”但 由 于 向 后 兼容 等 各 种 问题 的 存在 ， 目 前 ， 巨 型 帧 并 未 得 到 普及 。 
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标准 制定 年 份 内 容 
IEEE 802.3z ( 1000BASE-X ) 1998 年 定义 了 使 用 光纤 作为 传输 媒介 、 速 率 为 1Gbit/s 的 和 干 兆 以 太 网 标 
IEEE 802.3ab ( 1000BASE-T ) 1999 年 定义 了 使 用 双 绞 线 作 为 传输 媒介 、 速 率 为 1Gbit/s 的 千 兆 以 太 网 























主要 的 以 太 网 标准 













































































表 项 制定 年 份 | IEEE 标准 | 传输 速率 编码 传输 媒介 最 大 传输 距离 
000BASE-SX |1998 年 | IEEE 802.3z | 1Gbits | 8B10B/NRZ MMEF (波长 850nm) | 500m 
000BASE-LX MMF (波长 1300nm ) | 550m 

SMF ( 波长 1310nm ) | 5km 玛 ? 
000BASE-ZX SMF ( 波长 1550nm ) | 70~100km 
000BASE-CX 150Q 平衡 屏蔽 双 绞 线 | 25m 
000BASE-T 1999 年 ”| IEEE 802.3ab | 1Gbits “| 8B104/4D-PAM5 | UTP (4 对 超 5 类 ) 100m 
000BASE-TX 王 ' | 2001 年 | TIWEIA-854 | 1Gbits | 8B104/4D-PAM5 | UTP (4 对 6 类 ) 100m 
000BASE-BX “| 2004 年 | IEEE 802.3ah | 1Gbit/s | 8B10B/NRZ SMF ( 下 行 1490nm, | 10km 

上 行 1310nm ) 





注 1: 目前 ，1000BASE-TX 已 经 不 再 使 用 。 
注 2: 同时 也 存在 被 称 为 1000BASE-LX/LH 或 1000BASE-LH 的 产品 (由 厂商 独自 扩展 ， 并 非 IEEE 标准 )。 该 产品 使 用 了 
2 芯 光 纤 ， 使 得 最 大 传输 距离 远 远大 于 1000BASE-LX 的 输出 ， 能 够 延伸 至 10~40km。 


人 省 E29， 千 兆 以 太 网 的 自 适 应 优先 顺序 天 





优先 级 


以 太 网 通信 模式 








000BASE- 


全 双 工 ) 











1000BASE- 


半 双 工 ) 








00BASE-T2 ( 


全 双 工 ) 





100BASE-TX 


全 双 工 ) 





00BASE-T2 ( 


半 双 工 ) 





100BASE-T4 


半 双 工 ) 








00BASE-TX 








半 双 工 ) 





NmD|IIO|ID9D1iANIO 





0BASE-T ( 全 双 工 ) 





二 








10BASE-T ( 半 双 工 ) 








注 1: 指 采用 连接 的 两 个 设备 所 支持 的 最 高 优先 级 通信 模式 。 
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国 万 兆 以 太 网 

2002 年 ，IEEE 802 委员 会 制定 了 最 大 传输 速率 为 10Gbit/s 的 万 兆 以 太 网 标准 IEEE 802.3ae。 
当时 的 IEEE 802.3ae 标准 中 采用 光纤 为 传输 媒介 ， 最 大 传输 速率 为 10Gbit/s。 随 后 2006 年 又 制 
定 了 使 用 双 绞 线 的 IEEE 802.3an 万 兆 以 太 网 标准 。 

万 兆 以 太 网 由 于 传输 速度 非常 快 ， 因 此 在 该 标准 中 很 难 继续 使 用 冲突 检测 机 制 ， 在 半 双 工 通 
信 时 也 不 再 使 用 原先 的 CSMA/CD 方式 了 。 所 以 也 就 不 再 通过 集线器 ， 而 是 使 用 交换 机 建立 全 双 
工 通信 链 路 。 

万 兆 以 太 网 不 再 仅仅 局 限 在 LAN 中 使 用 ，MAN 以 及 WAN 也 逐步 开始 使 用 该 技术 。 数 据 链 
路 层 的 MAC 子 层 也 和 以 往 的 以 太 网 相同 ， 帧 的 长 度 是 从 64bit 到 1518bit， 没 有 任何 变化 。 

万 兆 以 太 网 的 物理 层 中 定义 了 两 部 分 内 容 ， 其 中 一 部 分 是 与 之 前 以 太 网 兼容 的 LAN PHY 
的 内 容 ， 另 一 部 分 则 是 在 作为 通信 基础 设施 供应 商 的 骨干 网 使 用 的 SONET/SDH 标准 中 ， 与 
OC-192 兼容 的 WAN PHY 的 内 容 ( 表 1-25 )。 


















































万 兆 以 太 网 的 历史 
































标准 制定 年 份 内 容 
IEEE 802.3ae ( 10GBASE-X ) 2002 年 传输 速率 为 10Gbit/s 的 10Gigabit Ethernet 的 标准 
IEEE 802.3an ( 10GBASE-X ) 2006 年 使 用 双 绞 线 作 为 传输 媒介 的 10Gbit/s 以 太 网 标准 




















二 也 引 主要 的 万 焰 以 太 网 标准 
































表 项 制定 年 份 | IEEE 标准 ”| 传送 速率 编码 方式 传输 媒介 最 大 传输 距离 
10GBASE-SR | 2002 年 | IEEE 802.3ae | 10Gbit/s | 64B/66B MF (LAN PHY ) 850nm | 300m 
10GBASE-LR | 2002 年 | IEEE 802.3ae | 10Gbit/s | 64B/66B SMF (LAN PHY ) 1310nm | 10km 
10GBASE-ER | 2002 年 ”| IEEE 802.3ae | 10Gbit/s | 64B/66B SMF ( LAN PHY ) 1550nm | 40km 
10GBASE-SW | 2002 年 | IEEE 802.3ae | 10Gbit/s | 64B/66B WIS*' | MMF (WAN PHY ) 300m 
10GBASE-LW | 2002 年 | IEEE 802.3ae | 10Gbits | 64B/66B WIS | SMF (WAN PHY ) 10km 
10GBASE-EW | 2002 年 | IEEE 802.3ae | 10Gbit/s | 64B/66B WIS | SMF ( WAN PHY ) 40km 
10GBASE-T | 2006 年 | IEEE 802.3an | 10Gbits | LDPC*? UTP/STP (6 类 ) 100m 






































注 1: WIS， 广 域 网 接口 子 层 (WAN Interface Sublayer ) 的 英文 首 字母 缩写 。 
注 2: LDPC， 低 密度 奇偶 校 验 码 (Low-Density Parity-Check ) 的 英文 首 字 母 缩写 。 


国 40G/100G 以 太 网 了 


2010 年 6 月 ，40Gbit/s 和 100Gbit/s 的 以 太 网 标准 化 工作 完成 。 同 万 兆 以 太 网 一 样 ， 该 标准 
中 仅 支 持 全 双 工 通信 ， 对 以 太 网 帧 的 格式 没有 做 任何 改变 。 








QD ”400G 的 以 太 网 标准 工作 已 于 2013 年 4 月 正式 启动 。 
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40G/100G 以 太 网 历史 





























标准 制定 年 份 内 容 
IEEE 802 3ba 2010 年 制定 了 传输 速率 为 40Gbit/s 与 100Gbit/s 的 新 一 代 以 太 网 标准 





表 项 制定 年 份 IEEE 标准 传送 速率 编码 方式 传输 媒介 最 大 传输 距离 





40GBASE-KR4 2010 年 IEEE 802.3ba | 40Gbit/s 64B/66B 背 板 ( back plane ) | 1m 





40GBASE-CR4 0 年 IEEE 802.3ba | 40Gbit/s 64B/66B 纳 Om 





40GBASE-SR4 0 年 EEE 802.3ba | 40Gbit/s B/66B 





40GBASE-LR4 0 年 EEE 802.3ba | 40Gbit/s B/66B 





00GBASE-CR10 0 年 EEE 802.3ba | 100Gbit/s B/66B 








00GBASE-SR10 0 年 EEE 802.3ba | 100Gbit/s B/66B 








00GBASE-LR4 0 年 EEE 802.3ba | 100Gbit/s B/66B 























00GBASE-ER4 0 年 EEE 802.3ba | 100Gbit/s B/66B 























01.03 ”以 太 网 标准 的 数据 处 理 


01.03.01 ”以太 网 上 的 数据 


以 太 网 上 传输 的 数据 在 数据 链 路 层 以 MAC 帧 ( 以 太 网 帧 格式 ) 的 形式 存在 ， 最 终 会 被 转换 
为 传输 媒介 UTP 线 缆 上 的 电气 信和 号。 电气 信号 转换 的 过 程 中 会 根据 不 同 的 标准 采用 不 同 的 编码 
方式 ( 表 1-28 )。 


二 本 3》 使 用 UTP 的 LAN 标准 数据 式样 
标准 区 编码 线性 编码 1 对 传输 信号 率 ( Mbaud ) 守 ' 传送 UTP 对 数 
10BASE-T 曼彻斯特 20 
100BASE-TX 4B5B 
100BASE-T 4D-PAM5 



































注 1: Mbaud 是 106baud ( 波 特 )。1 个 baud 表示 一 秒 内 信号 的 变化 次 数 。 在 1 个 脉冲 传输 lbit 信号 时 ，1lbaud=1bit/s ; 当 
1 个 脉冲 传输 2bit 信号 时 ，1lbaud=2bit/s。 


另外 ， 以 太 网 采用 小 端 (little endian， 也 称 为 Canonical ) 顺序 方式 来 传输 比特 流 ， 也 就 是 说 
对 于 1 个 字 节 (8bit ) 的 数据 ， 会 从 最 低位 (LSB，Least Significant Bit ) 开始 传送 。 小 端 顺 序 如 表 
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1-29 所 示 ， 将 每 8bit 数据 中 的 0 与 1 顺序 颠倒 进行 传送 。FDDI 以 及 令 牌 环 等 网 络 ， 则 采用 大 端 
( big endian ) 顺序 进行 传输 数据 。 

在 网 络 上 进行 传输 的 二 进 制 数据 所 使 用 的 字 节 排列 顺序 也 称 为 网 络 字 节 序 。TCP/P 协议 中 
包括 首部 在 内 均 使 用 大 端 顺序 即 从 最 高 位 ( MSB，Most Significant Bit ) 开始 传送 数据 。 


小 端 与 大 端的 比较 











要 IP 地 址 192.168.1.254 ( 采用 二 进 制 表示 为 11000000 10101000 00000001 
标准 比特 顺序 
11111110 ) 的 比特 序列 
以 太 网 小 端 00000011 00010101 10000000 01111111 
FDDI、 令 牌 环 ” | 大 端 11000000 10101000 00000001 11111110 











01.03.02 10BASE-T 


























在 10BASE-T 中 使 用 曼彻斯特 编码 (或 称 曼彻斯特 码 ) 的 方式 让 转换 的 电气 信号 在 双 绞 线 上 
传输 。 从 Preamble 字段 ”中 得 到 20MHz 的 时 钟 频率 与 10Mbit/s 的 NRZ2 数据 进行 逻辑 异 或 运算 ， 
得 到 在 20MHz 下 采用 -V、0、+V 三 个 电 平 数值 发 送信 号 ( V 表示 电压 )。 该 运算 过 程 如 图 1-5 所 
示 ,“0” 表 示 “10”,“1” 表示 “01”。 通 过 曼彻斯特 编码 后 ， 直 流 信和 号 部 分 将 不 复 存 在 ， 从 而 抑 
制 了 信号 衰减 带 来 的 干扰 。 

另外 ,在 以 太 网 帧 格式 之 间 会 定期 发 送 Link Test Pulse 信号 。 
10BASE-T 曼彻斯特 编码 


















































时 钟 频率 
( 从 Preamble 中 获取 ) 











数据 ( NRZ ) 











曼彻斯特 编码 























在 10BASE-T 中 ,使 用 4 对 双 绞 线 中 的 1 对 (1 号 与 2 号 ) 信 号 线 作为 10Mbit/s 信号 的 发 送 
源 ,1 对 (3 号 与 6 号 ) 信号 线 用 于 10Mbits 信号 的 接收 ， 剩 余 两 组 空闲 不 用 。 














中 Preampble 字段 是 以 太 帧 的 首 个 字段 ， 在 Pre 字段 中 0 与 1 交替 使 用 。DIX 以 太 网 标准 采用 8 位 数据 ，IEEE 802.3 采用 
7 位 数据 表示 。 参 考 图 1-3。 
@ ”NRZ 表示 Non-Return-to-Zero， 即 不 归 零 码 ， 是 一 种 不 依赖 使 用 1 表示 高 电 平 、0 表示 低 电 平 的 时 序 编码 。 
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10BASE-T 的 数据 发 送 




















使 用 3 类 ( 最 大 带宽 为 16MHz ) 
UTP 线 缆 











NIC 1 


























不 使 用 这 里 绞 在 一 起 的 两 个 对 线 





01.03.03 100BASE-TX 




















在 100BASE-TX 的 标准 中 不 再 使 用 曼彻斯特 编码 ， 而 是 使 用 了 一 种 叫做 MLT3 ( Multi-Level 
Transition ) 的 编码 方式 。 该 编码 方式 使 用 -V、0、+V 三 个 数值 ， 当 下 一 个 数据 为 0 时 ， 保 持 信 
号 电 平 不 变 ; 当下 一 个 数据 为 1 时 ， 信 号 电 平 跳 转 。 这 样 使 信号 电压 变化 平稳 ， 能 够 减少 信号 传 
递 中 的 谐 波 数量 。 


100BASE-TX 的 MLT-3 编码 

















时 钟 频率 
( 从 Preamble 中 获取 ) 








数据 ( NRZ ) 





MLT-3 
































在 使 用 MLT-3 编码 时 ， 数 据 如 果 连 续 为 0， 信号 电 平 将 不 会 发 生 任何 变化 ， 这 将 导致 接收 方 
无 法 检测 出 每 一 个 时 钟 频率 。 为 了 避免 这 一 问题 ， 标 准 中 采取 了 将 4bit 数据 转换 为 5bit 的 方法 
( 表 1-30)。 这 样 一 来 ， 既 能 保证 在 发 送 的 Sbit 数据 中 有 两 个 以 上 的 “1”"， 也 能 够 在 数据 连续 为 
“0” 时 ， 找 得 到 同步 的 位 置 。 男 外 ， 还 能 加 入 特殊 的 控制 码 。 








(QD 指 网 络 控制 器 ， 具 体内 容 请 参考 第 2 章 。 
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4B5B 转换 表 
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wz wm dodssn 


之 
各 
4 
5 
6 
7 
8 
9 
A 
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由 于 将 原来 4bit 的 数据 以 Sbit 的 方式 发 送 ， 就 使 得 发 送 速率 为 100Mbit/s 的 数据 实际 需要 发 
送 速率 为 125Mbit/s 的 电 平 信号 。4B5B 编码 在 速率 为 100Mbit/s 的 FDDI 中 也 会 使 用 ,但 光纤 传 
播 使 用 光 的 明暗 来 发 送 数 据 ， 因 此 不 再 使 用 需要 用 3 个 数值 传输 信号 的 MLT3 ， 而 是 使 用 只 需 两 
个 值 的 NRZI? 进行 编码 。 在 NRZI 中 一 个 周期 可 以 发 送 2bit 的 数据 , 因此 只 需要 原来 比特 率 的 二 
分 之 一 周期 ， 即 可 发 送 lbit 的 数据 。 所 以 125Mbit/s 的 电 平 信号 只 需 62.5MHz 带宽 即 可 。 当 使 用 
MLT-3 时 ， 一 个 周期 内 可 以 发 送 4bit 的 数据 ， 即 只 要 使 用 原来 比特 率 二 分 之 一 的 带宽 31.25MHz， 
就 能 完成 数据 的 发 送 。 这 样 的 话 ， 尽 管 5 类 UTP 线 缆 最 多 可 以 只 使 用 100MHz 的 电 平 信号 , 但 
是 通过 使 用 MLT-3 并 采用 了 4B5B 编码 转换 后 ， 也 就 没有 什么 问题 了 。 

为 了 实现 100BASE-TX 自 适应 功能 ， 在 两 台 机 器 网 卡 之 间 进 行 物 理 连 线 后 ， 相 互 连 接 的 设备 
会 发 送 一 个 名 为 Fast Link Pulse 的 脉冲 信号 ， 通 过 该 脉冲 信号 检测 出 双方 的 通信 速率 和 各 自 支 持 
的 通信 模式 与 ， 并 根据 该 信息 自动 选择 合适 的 运行 模式 。 









































































































































四 NRZI 是 Non-Return-to-Zero Inverted 编码 的 缩写 。 如 图 1-8 所 示 ， 当 下 一 个 电 平 信号 为 1 时 进行 信号 反 转 ， 为 0 时 则 
保持 不 变 。 
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器 和 ENRZI 编码 




























































































在 连续 0 或 1 这 样 连续 、 平 稳 的 电 平 信号 A a 
中 很 难 获 取 其 中 包含 的 时 钟 频率 0 表示 低 电 平 ，1 表 示 高 电 平 
0 1 个 波段 ( 1 个 周期 ) 可 以 包含 2bit 的 信息 








111100001010 














1 个 波段 ( 1 个 周期 ) 可 以 包含 2bit 的 信息 NRA _ 
上 0 条 示 不 变 ， 1 表示 反 转 






































ee 车 连续 0 的 电 平 信号 中 很 难 获取 
1 六 其 中 包含 的 时 钟 频率 








全 

















111100001010 











1 个 波段 ( 1 个 周期 ) 可 以 包含 4bit 的 信息 





0 | MLT-3 
| | NRZI 使 用 3 个 数值 传输 
171100001010 


























100BASE-TX 的 数据 传输 






































发 送 发 送 Se 
信号 回路 2 
NIC 3 
接收 接收 4 
信号 回路 5 
6 
7 
8 


01.03.04 1000BASE-T/1000BASE-TX 





使 用 5 类 UTP ( 最 大 带宽 为 100MHz ) 线 缆 


SS 
未 便 用 这 两 对 绥 线 


在 1000BASE-T 中 使 用 了 8BlQ4 (8 binary to 1 quinary 4, 将 8 个 2 值 数据 转换 成 5 值 4 组 
数据 ) 的 编码 方式 与 4D-PAM5 (4-dimensional，5-level Pulse Amplitude Modulation, 将 从 8B1Q4 
数据 编码 接收 到 的 4 维 五 进 制 符 号 用 五 个 电压 级 别传 送出 去 ) 的 调制 方式 传输 数据 ( 如 图 1-10 表 
示 )。8B1Q4 按照 每 组 8bit 对 传输 数据 进行 分 制 ， 每 组 再 加 上 1bit 的 元 余 位 作为 错误 校 验 ， 一 共 


为 9bit 数据 。 在 9bit 的 数据 中 ,根据 元 余 bit 和 前 两 个 bit 数据 选择 转换 表 ， 














了 根据 转换 表 得 到 
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余下 6bit 所 对 应 的 4 个 信号 值 。 信 号 值 可 以 是 -2、-1、0、+1、+2 这 5 个 值 中 的 任意 一 个 。 例 
如 ，10010111 这 个 8bit 的 数据 ， 按 照 8B1Q4 转换 为 +1、-2、0、-1 这 4 个 信号 值 后 ， 就 可 以 
同时 在 双 绞 线 上 进行 传输 。 将 这 一 系列 的 数据 调制 发 送 就 被 称 为 4D-PAM5 方式 ， 因 为 要 使 用 
1Gbit/s 速率 发 送 数据 ， 所 以 每 个 脉冲 的 间隔 为 125MHz (1 个 脉冲 时 间 为 8 纳 秒 )。 两 个 脉冲 为 1 
次 谐 波 ， 因 此 可 以 使 用 带宽 在 62.5MHz 之 上 的 UTP 线 缆 来 完成 信号 的 传输 。 


I 1000BASAE-T 的 编码 


人 按照 每 组 8bit 对 数据 进行 分 割 CGO) 进行 8B104 编 码 
8bit 8bit 9bit 9bit 

































































(Ci-1 添加 用 于 错误 校 验 的 宛 余 位 ， @-2 兄 余 位 同 第 6bit、7bit 组 合 
每 组 变 为 9bit 选择 转换 表 


LSB MSB 元 余 位 eral elie 


27 


[11 olol loliol+ 元 祭 bit=0 时 使 兄 余 bit=1 时 使 


※LSB ( Least Significant Bit ) : 最 低位 bit 
MSB ( Most Significant Bit ) ， 最 高 位 bit 




































































CD)-3 将 第 0~5bit 的 数据 放 入 选择 好 
的 转换 表 检 索 对 应 信号 值 






























































































































































































































































10 
6bit 转 换 表 加 将 [+2、+1、0、-1、-2] 各 个 
Beall NN 信号 值 转换 为 [+1V、+0.5V、， 
前 6pit 5 值 4 对 转换 人 
110001 14 0 使 用 4 对 双 绞 线 同时 发 送 和 
110010 +1,+2, —2,+1 
110011 ET 
110100 +1+2.0,-1 
+1 
+2 
-2 
+1 
实际 的 8B1Q4 转换 表 ( 节选 ) 
剩余 的 3bit 
前 6bit 
000 010 100 110 
000000 0,0,0,0 0,0,+1,+1 0,+1,+1,0 0,+1,0,+1 
000001 —2,0,0,0 —2,0,+1,+1 —2,+1,+1,0 一 2,+1,0,+1 
000010 0,—2,0,0 0,—2,+1,+1 0.-1,+1,0 0,—1,0,+1 
000011 —2,—2,0,0 —2,—2,+1,+1 —2,—1,+1,0 —2,—1,0,+1 
附 图 ，1000BASE-T 网 卡 的 功能 分 区 图 
8b 
scrambler LL Peeea125MHz 2 
eb 4D-PAM5 一 eeesa125MHz 忆 
rellis > EnCoder PEEEE125MHz 古 
2b[ EnCoder [人 Eeel125MHz 寻 
em vie 4D-PAM5 
[人 | DeCoder | DeCoder 8b 表 示 8bit 数 据 
8b 9b 9b 表 示 9bit 数 据 
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01.03.05 1000BASE-SX/LX 


1000BASE-SX 与 1000BASE-LX 采用 了 8B10B 的 编码 方式 。 

8B10B 编码 方式 将 发 送 数据 按 每 组 8bit 进行 分 割 ， 并 将 每 组 8bit 的 数据 重新 转换 成 10bit 
进行 传输 。 这 么 一 来 ， 不 仅 可 以 发 送 额 外 数据 信息 ， 而 且 无 论 是 什么 样 的 数据 ， 最 多 也 只 会 出 
现 5 个 连续 的 “0” 或 者 “1”"。 因 此 在 节省 带宽 的 20% 的 前 提 下 ， 也 可 以 将 数据 与 时 钟 频率 同 
时 通信 。 
1000BASE-SX/LX 的 编码 


1000BASE-SX/LX 
中 按照 每 组 8bit 对 数据 进行 分 割 
8bit 8bit 









































人 @) 进行 8B/10B 编 码 





10bit 10bit 


oollollollolololololol 


(@ 使 用 采样 频率 为 1.25GHz ( 1G*10/8 ) 进行 发 光 为 “0”、 炸 灭 为 “1” 的 光 信 号 转换 ， 随 后 




































































通过 光纤 进行 传输 。 
8B10B 变 换 表 的 一 部 分 
编码 bit Current RD- | Current RD+ 编码 bit Current RD- | Current RD+ 
D0.0 | 000 00000 | 100111 0100 011000 1011 D28.7 111 11100 | 001110 1110 001110 0001 
D1.0 | 000 00001 011101 0100 100010 1011 D29.7 111 11101 101110 0001 010001 1110 
D2.0 | 000 00010 | 101101 0100 010010 1011 D30.7 111 11110 | 011110 0001 100001 1110 
D3.0 000 00011 110001 1011 110001 0100 D31.7 111 11111 101011 0001 010100 1110 




















给 每 组 的 8bit 数据 定义 Current RD 一 ( 负 ) 与 Current RD+( 正 ) 的 10bit 转换 值 ， 并 采 
用 正 负 交替 进行 传输 。 这 次 发 送 的 是 某 个 RD (Running Disparity ) 信 号 ， 下 次 就 发 送 
相反 的 RD 信号 。RD 在 开局 电源 后 的 初始 值 为 负 。 


1000BASE-T 的 数据 传输 
































使 用 增强 型 5 类 UTP ( 其 中 4 对 进行 发 送 与 接收 ) 线 费 














一 上 He 一 1 25MHz 
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3 
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5 
6 
7 
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Hybrid 回路 的 功能 : 将 1 对 双 绞 线 上 的 进行 4 对 双 绞 线 都 使 用 的 
发 送信 号 与 接收 信号 分 流 全 双 工 通信 
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在 传输 速率 为 1000Mbit 秒 的 1000BASE-T 中 ，1 对 信和 号 线 能 够 以 250Mbit/ 秒 的 速率 同时 发 
送 和 接收 信号 ， 并 且 可 以 4 对 信和 号 线 同 时 进行 全 双 工 通信 。 


1000BASE-T 的 发 送 接收 方式 








六 发 送信 号 ( 250Mbit/ 秒 


ne 





























寥寥 


在 传输 速率 为 1000Mbit/ 秒 的 1000BASE-TX 中 ，1 对 信号 线 能 够 以 500Mbit/ 秒 的 速率 进行 
数据 通信 ，4 对 信号 线 中 ， 两 对 发 送信 和 号， 两 对 接收 信号 。1000BASE-TX 旨 在 降低 1000BASE-T 
的 实现 成 本 ， 又 以 EIA/TIA-854 的 形式 进行 了 标准 化 ,但 是 与 1000BASE-T 的 普及 相 比 ， 
1000BASE-TX 对 应 的 设备 很 少 ， 目 前 几乎 已 经 停 用 。 因 此 需要 注意 的 一 点 是 ，1000BASE-TX 与 
1000BASE-T 无 法 兼容 。 
























































1000BASE-TX 的 发 送 接收 方式 
发 送信 





500Mbit/ 秒 ) 





涉 
浔 
ol 
uj0 


500Mbit/ 秒 ) 


Ey 
接收 信号 t/ 秒 ) 


500Mbi 














六 
污 
ol 
ul0 


500Mbit/ 秒 ) 


01.04 网络 设备 的 构成 要 素 


01.04.01 通用 服务 器 与 专用 设备 
网 络 便 件 大 致 分 为 通用 服务 器 和 专用 设备 两 大 类 
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ES 区 育 ”网 络 硬件 的 种 类 
通用 服务 器 | 运行 Windows、Windows Server、Linux、Unix 等 操作 系统 的 通用 服务 器 及 该 服务 器 上 安装 的 网 络 服务 
专用 设备 特定 目的 的 操作 系统 、 软 件 、 硬 件 组 成 的 专用 设备 





































































































6 和 3 区 允 ”比较 通用 服务 器 与 专用 设备 






















































































































































































专用 设备 的 优点 通用 服务 器 的 缺点 
。 价格 便宜 e 与 专用 硬件 相 比 ， 性 价 比 低 
。 性 能 高 e 需要 习惯 其 设置 及 管理 
e 设 置 简单 ， 版 本 升级 容易 e 根据 操作 系统 的 不 同 ， 可 能 会 出 现 没 有 对 应 软件 的 情况 
e 便于 使 用 和 管理 。 操作 系统 不 同 ， 系 统 漏洞 也 较 多 
e 安全 漏洞 较 少 
通用 服务 器 的 优点 专用 设备 的 缺点 
e 如 果 有 编程 知识 ， 就 能 够 自 定义 功能 。 功能 扩展 有 所 限制 
e 使 用 免费 的 操作 系统 可 以 降低 成 本 。 无 法 自 定义 
e 很 容易 得 到 系统 漏洞 以 及 BUG 的 信息 e 修 复 安 全 漏洞 以 及 BUG 的 方法 根据 厂商 的 不 同 而 不 同 











01.04.02 分 门 别 类 的 网 络 设备 


网 络 设备 的 分 类 如 表 1-33 所 示 。 


网 络 设备 的 分 类 
网 络 设备 种 类 











器 
交换 机 
丑 路 由 器 
限 LAN 的 AP、 无 线 LAN 控制 器 
网 络 安全 设备 
。 防火 墙 
eUTM 
。 新 一 代 防 火 墙 
。 代理 器 件 
e URL 过 滤器 件 
。 防 病毒 网 关 
负载 均衡 器 
服务 器 设备 
。 Web 服务 器 设备 
。 文 件 服务 器 设备 
e。 DHCP、DNS 服务 器 设备 
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设备 (appliance ) 是 电气 化 产品 的 意思 。 

网 络 设备 和 个 人 计算 机 的 部 件 构 成 非常 相似 。 要 说 与 个 人 计算 机 最 大 的 不 同 ， 那 就 是 网 络 设 
备 没 有 对 应 的 键盘 、 显 示 需 等 输入 输出 装置 。 但 是 网 络 设备 可 以 通过 串口 、 网 口 等 和 个 人 计算 机 
设备 相连 ， 从 而 完成 配置 管理 等 操作 。 




















01.04.03 CPU 








CPU ( Central Processing Unit， 中 央 处 理 器 ) 是 构成 PC 等 计算 机 的 主要 部 件 ， 它 通过 读 取 内 

存 中 的 程序 来 控制 软件 的 执行 ， 并 对 数据 进行 和 运算。 解析 程序 指令 也 称 为 解码 (decode )， 解 析 
卓 令 完毕 后 ， 就 可 以 从 内 存 中 读 取 数据 或 者 通过 外 围 设 备 完 成 输入 输出 了 。 

根据 一 条 指令 能 够 处 理 的 最 大 数据 量 ， 可 以 分 为 16bit CPU 、32bitCPU 和 64bitCPU， 数 值 越 

大 说 明 CPU 的 性 能 越 高 。CPU 使 用 赫兹 ( Hz ) 来 表示 时 钟 频率 ， 即 在 1 秒 内 能 够 执行 多 少 条 指 

令 。 比 如 说 3GHz 就 表示 在 1 秒 钟 内 CPU 可 以 执行 3*10? 次 运算 。 当 同一 时 钟 周 期 内 处 理 的 数据 

量 相同 时 ， 时 钟 频 率 越 高 ，CPU 性 能 越 好 。 

将 两 个 处 理 需 核心 封装 在 一 块 集成 电路 上 称 为 双核 处 理 器 ， 类 伏地 ， 也 有 将 4 个 核心 封装 在 
一 块 CPU 中 的 。CPU 的 核 数 越 多 ， 性 能 也 越 高 。 这 类 系统 称 为 多 核 系统 ， 能 在 1 个 CPU 上 同时 
执行 多 个 线程 ( 处理 )。 在 能 够 高 速 进行 第 7 层 处理 、 加 密 解密 处 理 网 络 设备 中 ， 也 可 以 搭载 多 
个 这 种 类 型 的 CPU， 通 过 增加 整个 系统 核 的 数量 来 提高 处 理 能 力 。 

拥有 多 块 CPU 的 计算 机 或 硬件 称 为 多 处 理 系统 。 在 生产 CPU 的 公司 中 ， 较 为 著名 的 是 Intel 
公司 和 AMD 公司 。 

将 所 有 构成 CPU 的 半导体 部 件 集中 在 一 块 芯 片上 的 处 理 器 称 为 MPU ( Micro-Processing 
Unit， 微 处 理 需 )， 也 有 人 用 MPU 来 表示 CPU。 



















































































01.04.04 ”存储 设备 





在 计算 机 内 用 来 存储 数据 或 程序 的 装置 是 存储 设备 ( storage unit )。 该 类 设备 分 成 高 速 且 高 
价 的 主 存储 器 与 低速 且 低 价 的 辅助 存储 器 (外 部 存储 器 ) 两 类 。 主 存储 器 分 成 可 读 写 的 RAM 以 
及 只 读 的 ROM， 二 者 均 使 用 半导体 元 件 实现 。 
辅助 存储 顺 有 硬盘 和 闪存 等 。 

在 网 络 硬件 中 ,桌面 类 型 的 交换 机 或 路 由 器 往往 使 用 闪存 来 启动 程序 ( 应 用 程序 )， 随 后 从 
硬盘 ( 即 闪存 ) 上 读 取 必要 的 数据 。 在 程序 中 处 理 的 数据 又 存储 至 比 硬盘 速度 更 快 的 读 写 主 存 
中 。 为 了 使 主 存储 器 进行 对 应 的 数据 运算 ， 还 需要 将 数据 传送 至 CPU 处 。 

这 时 ， 即 使 采用 了 DRAM 高 速 主 存 ， 其 对 数据 的 读 写 速度 ( 访问 速度 ) 也 远 远 落 后 于 CPU， 
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而 受到 存储 器 性 能 牵连 的 CPU 也 无 法 发 挥 出 原本 的 速度 。 因 此 就 需要 用 速度 更 快 但 容量 更 小 的 
Cache 存储 ， 这 种 存储 将 需要 CPU 频繁 处 理 的 数据 以 更 快 的 速度 传送 至 CPU， 从 而 大 大 提高 了 
程序 的 处 理 速度 。 





01.04.05 ”存储 器 


存储 器 根据 用 途 分 为 了 不 同 的 种 类 。RAM 或 ROM 一 般 作为 主 存储 设备 ， 用 来 存放 需要 执行 
或 处 理 的 程序 及 数据 。NVRAM 和 闪存 则 作为 辅助 存储 设备 存放 操作 系统 或 配置 文件 ( 表 1-34 )。 


5 区 2》 存储 器 的 种 类 
存储 器 的 种 类 说 明 

RAM ( Random Access Memory ) | 随机 存 取 存 储 器 。 在 计算 机 内 部 用 于 保存 处 理 运行 中 的 设置 和 路 由 表 所 需要 的 

信息 。 当 关闭 电源 或 重新 启动 后 ， 将 清空 所 有 数据 。 一 般 使 用 动态 随机 存储 器 

( DRAM ) 和 同步 动态 随机 存储 器 ( SDRAM ) 实 现 
































































































































































































































ROM ( Read Only Memory ) 只 读 存 储 器 。 关 闭 电 源 时 保存 的 数据 不 会 丢失 。 一 般 用 来 存放 Bootstrap 衬 '、 
POST 守 *、ROM 监控 、RXBOOT 等 启动 和 维护 网 络 硬件 的 程序 
NVRAM ( Non volatile RAM ) 于 拥有 非 易 失 性 ， 即 使 关闭 电源 或 重新 启动 时 数据 也 不 会 丢失 ， 因 此 一 般 
保存 设置 文件 
闪存 具有 电 可 擦 可 编程 特性 的 只 读 存储 器 ， 用 来 保存 操作 系统 以 及 设置 文件 
注 1: Boot 是 指 计算 机 在 接 通电 源 后 进入 可 操作 状态 之 前 自动 执行 的 一 系列 处 理 ， 这 些 处 理 程序 统称 为 Boot ( Bootstrap ) Code。 








注 2: Power On Self Test 的 缩写 ， 是 指 电源 接 通 后 ， 计 算 机 进行 自我 诊断 的 过 程 。 在 Boot 之 前 检查 ROM 内 的 BootCode， 
检查 闪存 中 保存 的 操作 系统 ， 还 有 检查 外 围 接 口 以 及 ASIC 访问 等 。 当 POST 执行 失败 时 ， 硬 件 的 LED 灯会 闪烁 给 
出 错误 提示 。 这 说 明 部 件 或 数据 可 能 损坏 ， 需 要 更 换 新 的 硬件 。 
E 汪 区 RAM 的 种 类 
名 称 说 明 
DRAM ( Dynamic RAM ) 动态 随机 存储 器 。 一 种 通过 电容 中 是 否 有 电荷 来 表示 二 进 制 的 0 和 1， 并 以 此 
为 原理 进行 数据 保存 的 RAM。 电 容 保存 的 电荷 经 过 一 定时 间 后 会 自动 放电 ， 保 
的 信息 就 会 丢失 。 因 此 需要 定期 刷新 存储 单元 ， 通 过 再 次 写 入 使 其 保持 原来 
内 容 。 由 于 必须 要 进行 刷新 ， 因 此 被 称 为 “动态 的 (dynamic ) RAM”。 与 
AM 相 比 ， 电 路 较为 简单 ， 集 成 度 高 ， 价 格 也 较为 低廉 
SDRAM ( Synchronous DRAM ) 步 动 态 随 机 存储 器 。 使 用 外 部 总 线 接口 ， 在 一 定 周期 内 同步 时 钟 信 号 来 运行 
改进 版 DRAM。 按 133~533MHz 的 外 部 总 线 时 钟 频 率 进行 同步 运行 。 目 前 
的 DRAM 几乎 都 是 SDRAM 


















































































































































































































































































































































SRAM ( Static RAM ) 静态 随机 存储 器 。SRAM 使 用 了 由 三 极 管 构成 的 触发 器 电路 ， 能 够 无 需 刷新 操 















































芷 就 保存 数 于 不 需要 刷新 操作 ， 因 此 被 称 为 静态 ( static ) RAM。 虽 然 速 
度 很 快 ， 但 电路 很 复杂 ， 集 成 困难 ， 所 以 价格 昂贵 
















































































闪存 中 包含 了 EEPROM 、Compact Flash 和 USB 存储 等 ( 表 1-36 )。 








中 ”该 存储 器 一 般 教 材 鲜 有 涉及 ， 它 有 ROM 的 断 电 不 丢 数 据 的 特性 ， 也 有 普通 RAM 随机 寻 址 访问 的 特性 。 译 者 注 
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闪存 的 种 类 


说 明 


图 片 




















Flash EEPROM EEPROM 是 无 需 : 





电源 就 能 保存 写 入 数据 




















是 EEPROM 的 改 


( 电 可 擦 写 可 编程 ) 的 非 易 失 性 存储 器 之 一 ， 可 以 通过 输入 
电压 删除 或 更 改 数据 。Flash EEPROM 














进 版 ， 提 供 了 更 高 速 的 

















访问 速度 和 更 大 的 存储 容量 。EEPROM 








改 数据 


义 1 个 字 节 为 单位 更 改 数据 ， 而 Flash 
EEPROM 则 是 以 数据 块 为 单位 删除 或 更 

































































Compact Flash Card Sandisk 公司 
(CF 储 卡 内 部 使 用 了 

















发 的 存储 卡 ， 在 该 存 





Flash EEPROM 存储 忌 
























































可 以 使 用 PCC 
50pin 接口 转化 为 
样 就 可 以 插入 PC 
































于 内 部 还 兼容 部 分 PC Card 标准 ， 因 


S| 标准 的 ATA 闪存 作 





























ard 适配器 将 CF 卡 的 
PC Card 的 68pin， 这 
Card 插 横 使 


























Extreme'Pro 
c sh 





Typel 42.8x36.4x3.3mm 

Typell 42.8 x 36.4 x 5mm 

到 2012 年 为 止 , 市 面 上 可 买 到 容量 为 128MB~128GB 
的 产品 












































USB 存储 器 将 USB 接头 直 所 





封装 在 存储 产品 上 的 














( Universal Serial Bus | 存储 器 。 只 要 硬件 或 操作 系统 支持 USB 
存储 器 ) Mass Storage Class 标准 ， 在 连接 USB 









































需 安 装 驱动 程序 ， 











01.04.06 HDD/SSD 





在 个 人 计算 机 中 , 硬盘 也 经 常 作 为 加 





接口 标准 的 辅助 存储 设备 时 


就 可 以 无 
随 插 随 用 。 在 该 产品 























内 部 也 放置 了 Flash EEPROM 存储 必 片 























到 2012 年 为 止 ， 市 场 主流 的 产品 为 4GB~32GB， 
256GB 的 产品 也 可 以 买 到 。 




















有 助 存储 设备 来 使 用 , 一 般 被 称 为 HDD ( Hard Disk Drive， 


人 硬盘 驱动 器 ) (图 1-15 )。 人 硬盘 通过 驱使 多 块 涂 满 磁性 介质 的 金属 (或 者 玻璃 ) 盘 片 (platter ) 高 速 
旋转 、 移 动 磁头 ， 从 而 进行 数据 的 读 写 。 硬 盘 接 口 一 般 分 为 ATA 系列 和 SCSI 系列 两 种 。 

目前 主流 的 硬盘 尺寸 为 3.5 英寸 、2.5 英寸 和 1.8 英寸 ， 英寸 数 表示 盘 片 的 大 小 。 

在 网 络 设备 中 ， 多 个 不 同 版 本 的 操作 系统 、 与 系统 和 流量 相关 的 日 志 信 息 、 扫 描 内 容 时 使 用 
的 签名 信息 ( 数据库 )、 流 量 缓存 等 一 般 被 保存 在 安装 于 网 络 设备 内 部 的 HDD/SSD 中 。 

一 般 而 言 ， 个 人 计算 机 或 服务 器 硬件 若 发 生 了 HDD 故障， 可 以 将 HDD 单独 取 下 替换 ， 但 






































是 在 网 络 设备 中 很 可 能 需要 替换 整个 硬件 。 由 于 HDD 中 常常 存放 了 IP 地 址 等 保密 数据 ， 因 此 在 


蔡 换 硬件 时 ， 可 以 委托 厂商 删除 数据 ， 并 要 求 厂商 开具 硬盘 已 破坏 的 证 明 书 。 
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硬盘 驱动 器 





驱动 器 
( actuators， 决 定 存储 位 置 的 装置 ) 





主轴 马达 

















SN 
转动 臂 | 
~ I 





电源 接头 





外 部 接 
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有 些 网 络 配件 也 会 用 SSD 取代 HDD 作为 数据 存储 的 设备 。SSD 是 Solid State Drive 的 缩写 ， 





也 可 以 叫做 Flash SSD 或 Flash Memory Drive， 使 用 和 HDD 一 样 的 IDE、ATA 外 部 接口 。 


与 HDD 相 比 ，SSD 有 以 下 优点 。 


e 随机 访问 时 数据 读 取 速 度 快 
e 省 电 、 发 热量 小 

e 抗 外 部 冲击 力 强 

e 体积 轻便 、 运 行 噪声 小 

e 单位 容量 价格 高 

e 记忆 单元 有 读 写 次 数 的 上 限 
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加 [ai SSD 


em 





01.04.07 ”硬件 芯 





用 于 特殊 处 理 的 高 速 集 成 电路 主要 有 ASIC 和 FPGA。 与 CPU 处 理 被 称 为 软件 处 理 相 对 应 ， 
ASIC 和 FPGA 的 处 理 被 称 为 硬件 处 理 ( 图 1-17 )。 


软件 处 理 与 硬件 处 理 的 不 同 




























































































软件 处 理 可 以 组 合 命令 

CPU 从 内 存 中 读 取 命令 时 | 命令 和 执行 各 种 各 样 的 处 理 

需要 通过 的 总 线 往往 存在 公信 任务 

瓶 项 ， 处 理 数据 非常 翡 灿 “| < C -全 - 

时 间 。 了 

程序 可 以 非常 简单 地 在 通 重复 大 量 的 命令 读 取 、 
机 器 上 生成 和 修改 。 翻译 、 执 行 和 输出 操作 









































处 理 前 的 数据 一 一 处 理 后 的 数据 

































































硬件 处 理 rm 
个 行 特 ， 二 日、 

无 需 经 过 内 存 总 线 ， 可 以 在 ASIC 蕊 上 过 用 已 片 

内 部 高 速 处 理 。 





























处 理 前 的 数据 — 一 > | 处 理 后 的 数据 
国 ASIC 


ASIC ( Application Specific Integrated Circuit， 专 用 集成 电路 ) 指 用 于 特定 目的 的 IC 芯片 ， 是 
能 够 高 速 进行 以 太 网 帧 格式 的 传送 处 理 、 路 由 处 理 、 防 火 墙 处 理 等 特殊 处 理 的 集成 电路 。 


I 
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与 CPU 相同 ，ASIC 也 是 LSI ( Large Scale Integration， 大 规模 集成 电路 ) 的 一 种 。 但 与 CPU 
逐条 执行 命令 相 比 ，ASIC 的 设计 则 是 仅 用 于 高 速 进行 必要 的 处 理 。 

ASIC 由 于 芯片 单价 便宜 ， 因 此 在 大 规模 生产 时 成 本 很 低 ， 同 时 具有 高 速 、 高 集成 度 、 最 合 
理 的 电力 使 用 等 优点 。 但 另 一 方面 ， 开 发 成 本 高 、 开 发 周期 长 、 无 法 及 时 应 对 设计 失误 或 式样 变 
化 等 也 是 其 不 可 忽视 的 缺点 。 

















国 FPGA 

和 ASIC 一 样 ， 用 于 特定 目的 的 高 速 运行 集成 电路 ， 但 与 ASIC 不 同 的 地 方 在 于 它 的 可 编程 
性 。FPGA (现场 可 编程 门 阵列 ) 使 用 了 一 种 被 称 为 HDL ( Hardware Description Language， 硬 件 
描述 语言 ) 的 编程 语言 来 描述 电路 和 系统 的 运行 。 

与 ASIC 相 比 ，FPGA 因为 其 可 编程 性 而 具有 开发 风险 小 、 开 发 周期 短 和 开发 成 本 低 等 优点 。 
虽然 FPGA 也 有 单价 高 、 性 能 差 、 功 耗 高 的 缺点 ， 但 是 目前 这 些 方面 已 经 有 所 改善 ， 所 以 在 网 络 
设备 中 新 开发 的 硬件 芯片 几乎 都 使 用 了 FPGA。 



































国 网 络 处 理 器 


网 络 处 理 器 是 使 用 LSI 技 术 将 CPU 和 分 组 处 理 硬 件 集成 于 一 处 ， 用 于 网 络 相关 处 理 的 专用 
处 理 器 (图 1-18 )， 也 可 以 用 NP 或 者 NPU(Network Processing Unit ) 来 表示 。 














网 络 处 理 器 的 结构 图 
控制 平面 转发 平面 
































分 组 处 理 引 擎 集群 连接 




































































连接 DRAM ， 连接 PHY ， 

UART: Universal Asynchronous Receiver Transmitter 
PCl: Peripheral Component Interconnect 

DRAM: Dynamic Random Access Memory 

PHY: Physical Layer Controller 

MAC: Media Access Contro 























在 ASIC 中 无 法 根据 需求 灵活 更 改 处 理 的 内 容 ， 但 在 网 络 处 理 融 中 却 可 以 进行 编程 。 分 组 首 
部 的 解析 、 路 径 决 定 表 的 检索 、QoS 控制 、 加 密 解 密 等 内 容 单 一 但 负载 较 大 的 处 理由 引擎 硬件 
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(分 组 处 理 引 擎 、 协 议 引 擎 、 微 引擎 等 ) 负责 。 而 对 于 硬件 无 法 处 理 的 复杂 情况 ， 则 将 其 交 给 网 
络 处 理 器 内 部 的 CPU 完成 。 

EZchip 公司 的 网 络 处 理 器 





01.04.08 接口 


设备 一 般 有 两 种 接口 ， 一 种 是 用 于 管理 设置 的 控制 端口 ， 另 一 种 是 用 于 传输 用 户 数据 流量 的 
数据 端口 (多 个 )。 

图 1-20 展示 了 台式 计算 机 上 搭载 的 以 太 网 接口 卡 ， 也 称 为 网 络 适 配器 、LAN 卡 或 者 网 络 接口 卡 
( NIC，Network Interface Card )。 尽 管 母 板 及 配 线 有 所 不 同 ， 但 网 络 硬件 所 使 用 的 以 太 网 端口 ， 基 本 
上 也 由 类 似 的 部 件 组 合 而 成 。 图 1-20 中 所 表示 的 控制 芯片 就 是 将 会 在 第 2 章 中 详细 介绍 的 网 
络 控制 器 ( 缩写 也 是 NIC，Network Interface Controller )， 目 前 网 络 控制 器 多 用 NIC 来 表示 。 


100BASE-TX PCI 以 太 网 卡 的 示例 








@ 以 太 网 控制 器 : 负责 处 理 以 太 网 帧 格式 、 收 发 接口 处 信号 、 完 成 数据 从 总 线 到 CPU 的 中 继 等 。 将 物理 层 的 PHY 
处 理 与 数据 链 路 层 的 MAC 处 理 两 块 单元 集成 在 一 个 分 组 中 。 

@ PIC 总 线 连 接头 : 连接 与 CPU 的 通信 线路 。 

@ 以 太 网 接口 连接 头 : 使 用 RJ-45 以 太 网 线 缆 进 行 连接 。 

@ LED 指示 器 : 显示 以 太 网 的 工作 状态 。 
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国 控制 端口 

对 网 络 硬件 的 初始 设置 、 管 理 、 调 试 等 需要 通过 专用 的 端口 来 完成 ， 这 类 端口 就 叫做 控制 端 
口 (console port ) 或 串 行 端口 ( serial port )。 控 制 端口 一 般 使 用 DB-9 ( RS-232 )、RJ-45 、RJ-48 标 
准 ( 表 1-37)。 
用 于 管理 的 个 人 计算 机 使 用 线 缆 通 过 DB-9 串口 或 者 USB 接口 连接 到 网 络 硬件 ， 通 过 Hyper 
超级 终端 或 TeraTerm 这 类 终端 软件 与 硬件 进行 交互 连接 。 

个 人 计算 机 与 网 络 硬件 连接 的 线 缆 叫做 控制 线 缆 (图 1-38 )。 根 据 硬件 的 不 同 控制 端口 pin 
的 分 配 也 有 所 差异 ， 因 此 需要 先 选择 使 用 直 连 线 缆 还 是 交叉 线 缆 ， 然 后 使 用 转换 器 进行 转换 ， 并 
对 应 正确 的 极 性 来 进行 连接 。 

有 的 低 端 路 由 器 或 交换 机 不 提供 控制 端口 ， 而 是 将 192.168.1.1 这 种 私有 IP 地 址 设 定 为 以 太 
网 接口 的 初始 值 ， 然 后 通过 以 太 网 的 WebUI 进行 初始 设置 。 
6 区 控制 端口 


名 称 pin 设置 图 pin 设置 说 明 


DB-9 也 称 为 D-sub9。 采 用 EIA-547 标准 。 
( RS-232 ) 










































































pin 码 信号 信和 号 
1 IDCD ( Carrierdetect ) DSR ( Data set ready ) 





RxD ( Receive data ) RTS ( Request to send ) 
TxD ( Transmit data ) CTS ( Clear to send ) 
DTR ( Data terminal ready ) RI ( Ring indicator ) 




















GND ( Protective ground ) 



































12345678 计算 机 专用 的 8P8C (8 极 8 芯 ) 线 缆 与 插口 。 采 用 TIA/EIA- 
住 ( RJ-45 原先 采用 8P2C 的 FCC 标准 ， 二 者 之 间 没 有 互 




























































































后 号 pin 码 信号 
CTS ( Clear to send ) 5 |RxD ( Receive data ) 
DSR ( Data set ready ) 6 |ITxD (Transmit data ) 
GND ( Protective ground ) 7 IDTR (Data terminal ready ) 
DCD ( Carrier detect ) 8 |RTS (Request to send ) 



































控制 线 线 




















线 缆 说 明 
RJ-45/DB-9 ( 母 头 ) 线 绕 连接 个 人 计算 机 的 RS-232 DB-9 ( 公 头 ) 接 口 和 网 络 硬件 的 RJ-45 控 





























C 了 制 接 
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线 缆 说 明 

















缆 连接 个 人 计算 机 的 RS-232 DB-9 ( 公 头 ) 接 口 和 网 络 硬件 的 DB-9 控 
线 费 制 接口 。 公 头 接口 和 母 头 接口 需要 转换 时 ， 可 以 配备 迷你 转 接 





























































































































人 
= 人 
RJ-45/DB-9 ( 母 头 ) 转 接 在 将 RJ-45/RJ-45 线 缆 作 为 控制 线 缆 使 用 时 ， 进 行 与 个 人 计算 机 



























































时 需要 注意 存在 直 连 口 和 交叉 















































RS-232 DB-9 接口 的 中 继 连 接 。 使 
SS 两 种 


DB-9 母 头 / 母 头 迷你 转 接 被 称 为 Mini gender changer， 是 能 够 变换 接口 公 母 头 的 转 接 
DB-9 公 头 / 公 头 你 转 接 
DB-9 公 头 / 母 头 迷 你 转 接 


ss、 ee 


转 接 没有 DB-9 接口 但 有 USB 接口 的 个 人 计算 机 可 以 使 用 该 转 接 口 进行 
控制 连接 







































































































































































USB 串 























国 RJ-45 连接 控制 端口 
网 络 设备 的 控制 端口 和 个 人 计算 机 的 连接 可 以 使 用 DB-9/DB-9 线 缆 或 USB 串口 转 接口 来 进 
， 但 如 果 控 制 端口 是 RJ-45 时 ， 则 需要 使 用 RJ-45/DB-9 转 接 口 (如 图 1-21 所 示 )。 该 转 接口 内 
pn 和 交叉 连接 两 种 方式 ， 所 以 需要 注意 在 连接 除 网 络 设备 以 外 的 设备 时 ， 不 要 弄 错 接口 的 


极 性 。 
通过 RJ-45/DB-9 转 接口 连接 个 人 计算 机 


0 











泸 各 
连接 至 网 络 设 
备 的 kj45 控 人、 
制 

















人 





连接 至 个 人 计算 机 的 USB 端 
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RJ-45/DB-9 ( 公 头 ) 转 接口 : 直接 连 线 




















Wl 
87654321 
pin RJ-45 连 接头 






















































































RJ-45/DB-9 ( 母 头 ) 转 接口 : 交叉 连 线 
J 


HNN 
87654321 
pin RJ-45 连 接头 
pin 码 信号 

1 eTS 
DSR 
RxD 
GND 
DCD 
TxD 
DTR 





























































































































ONIOIOIFIOID 


RTS 








国 全 反 线 线 

思科 系统 公司 (以 下 简称 为 思科 公司 ) 生产 的 路 由 器 所 使 用 的 控制 线 缆 叫 做 全 反 线 缆 
( rollover cable )。 全 反 线 缆 采 用 双 头 端口 连接 管理 PC， 有 两 种 类 型 。 一 种 是 两 头 都 是 RJ-45 端 
口 ， 其 中 一 头 连接 RJ-45/DB-9 ( 公 头 ) 转 接口 ; 另外 一 种 是 一 头 为 RJ-45, 一 头 为 DB-9 端口 。 
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两 头 都 是 RJ-45 端口 的 全 反 线 缆 ， 其 中 一 头 连接 RJ-45/DB-9 转 接口 





一 头 为 RJ-45， 另 一 头 为 DB-9 的 全 反 线 缆 





PS 


2 过 


下 一 
国 数据 端口 


由 于 以 太 网 的 广泛 普及 ， 目 前 路 由 器 、 交 换 机 、 防 火 墙 以 及 其 他 的 有 线 连接 设备 均 配 有 
RJ-45 的 以 太 网 接口 。 


A 




















。 板 载 端口 
初始 安装 于 硬件 主体 内 部 的 接口 ， 无 法 拆 印 。 
。 接口 模块 


作为 可 选 模块 安装 在 硬件 主体 内 ， 可 以 拆 务 。 在 CLI 设备 统计 信息 中 显示 和 网 络 拓 扑 图 中 
记录 的 接口 标签 几乎 都 采用 了 “接口 类 别 + 模块 号 /接口 号 ”的 形式 。 例 如 ， 某 设备 有 两 个 板 载 











的 快速 以 太 网 接口 ， 可 以 表示 为 Fa0/1 和 Fa0/2， 其 中 0 表示 模块 号 。 如 果 是 在 第 2 个 接口 模块 
上 的 第 3 个 接口 则 表示 为 Fa2/3。 接 口 标签 中 的 接口 种 类 如 下 表 所 示 。 


接口 标签 中 的 接口 种 类 ( 以 1 号 模块 上 的 1 号 接口 为 例 ) 














接口 种 类 接口 标签 示例 
10Mbit/s 以 太 网 Eth1/1、e1/1 
快速 以 太 网 Fa1/1、e1/1、Eth1/1 
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接口 种 类 接口 标签 示例 
千 兆 以 太 网 Gi1/1、Gig1/1、ge-1/1、e1/1、Eth1/1 
万 兆 以 太 Te1/1、 xe-1/1、e1/1、Eth1/1 
。 接口 线 卡 


在 机 框 式 路 由 器 和 交换 机 中 ,提供 了 一 种 名 为 线 卡 ( line card ) 的 接口 卡 。 在 线 卡 内 部 可 以 
插入 多 个 接口 模块 ， 这 时 的 接口 标签 一 般 采 用 “ 线 卡 号 /模块 号 /接口 号 ”的 形式 。 例 如 , 插入 1 
号 线 卡 的 第 二 个 接口 模块 上 的 第 3 个 万 兆 以 大 网 接口 的 接口 标签 是 用 Gil/2/3 来 表示 。 


网 络 设备 上 的 各 种 接口 
| 板 载 快速 以 太 网 端 容 币 | 深 模块 播 

























































































接口 模块 





接口 线 卡 
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接口 线 卡 内 插入 接口 模块 的 示例 





01.04.09 信和 号 转换 器 


在 以 太 网 使 用 Gbit/s 以 上 的 速率 进行 通信 时 ， 有 时 会 在 路 由 器 和 交换 机 的 接口 上 安装 信和 号 
转换 器 。 路 由 器 、 交 换 机 总 会 配备 几 个 RJ-45 接口 来 连接 UTP， 但 这 也 仅 限 于 使 用 10/100BASE- 
TX 和 10/100/1000BASE-TX 标准 时 的 情况 。 

千 兆 以 太 网 和 万 兆 以 太 网 有 1000BASE-SX、1000BASE-LX、10GBASE-ER 等 使 用 光纤 作为 
物理 传输 媒介 的 标准 ， 不 同 标准 所 使 用 的 波长 和 输出 功率 也 有 差异 。 路 由 器 、 交 换 机 一 般 都 不 配 
备 专 用 的 光纤 接口 ， 而 是 提供 自身 所 对 应 的 信号 转换 器 的 接口 ， 这 样 就 可 以 根据 实际 环境 灵活 地 
对 标准 进行 适当 的 调整 。 一 般 一 台 设 备 会 配备 多 个 转换 器 接口 。 以 一 台 拥 有 4 个 SPF 接口 的 交 
换 机 为 例 ， 通 常 由 两 个 1000BASE-SX 和 两 个 1000BASE-LX 组 成 ， 不 同 标准 的 信号 转换 器 能 够 
组 合 使 用 。 

在 设备 的 信号 转换 右 接 口上 插入 需要 使 用 的 物理 标准 转换 器 ， 随 后 在 信号 转换 器 转换 接口 上 
插入 光纤 (或 双 绞 线 )， 这 样 就 连接 上 了 线 缆 。 

信和 号 转换 器 一 般 由 设备 制造 商 提供 可 选 产品 ， 买 家 也 可 以 绕 过 设备 商 直接 从 网 店 购买 相同 规 
格 的 产品 。 但 由 于 后 者 的 渠道 可 能 不 正规 ， 购 买 产品 后 买 家 未 必 会 得 到 设备 制造 商 提 供 的 设备 兼 
容 支 持 或 保修 服务 ， 这 一 点 需要 注意 。 

将 信号 转换 器 入 设备 机 身上 的 信和 转换 器 接口 ( (2 ) 
言 号 转换 器 的 另 一 头 插入 光纤 连接 头 (4) ) 
































在 表 1-40 内 列举 了 信和 号 转换 需 的 种 类 。 
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名 称 


说 明 





GBIC ( Gigabit Interface 
Converter ) 








干粮 以 太 网 专用 ， 
1000BASE-LX、 














000BASE-T 等 。 使 


如 1000BASE-SX、 


























SC 接头 作为 光 接 口 ， 支 持 Hot Swap ( 热 








插 拔 ) 





100(D) x 30(W) x 13(H 





) 




















于 1000BASE-SX/LX 























于 1000BASE-T 














SFP (Small Form-Factor 
Pluggable ) 








于 1998 年 完成 标准 








化 ， 也 称 为 mini- 





GBIC。 大 小 约 为 GIBC 的 1/3， 集 成 度 很 
高 。 一 般 为 SONET、 和 干粮 以 太 网 专 




















3 








( 表 1-41)， 使 用 LC 接 





~ 


(W)13.4 x (D)56.5 x (H)8.5mm 






























































XENPAK 2001 年 出 现 的 万 兆 以 太 网 信号 转换 器 。 
支持 Hot Swap， 使 用 SC 接头 

XFP ( 10 Gigabit Small | 2002 年 制定 的 、 万 兆 以 太 网 的 转换 

Form Factor Pluggable ) 器 ， 对 应 10GBASE-SR、10GBASE-LR、 
10GBASE-EW 标准 等 ， 使 用 SC 接头 



































SFP+ ( Small Form-Factor 
Pluggable plus ) 

















2006 年 制定 ， 用 于 万 兆 以 太 网 的 信号 转 
换 器 ( 表 1-42 js 与 XENPAK 和 XFP 相 比 ， 



































LC 接头 


有 体积 小 、 集 成 度 高 、 省 电 等 优点 ， 使 
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SFP ( 1Gbit/s ) 种 类 


















































































































































SFP 种 类 波长 光纤 种 类 核心 尺寸 模式 带宽 二 传输 距离 
1000BASE-SX 850nm MMF 62.5hm 160MHz/km 220m 
62.5 pm 200 275 
50 pm 400 500 
50 hm 500 550 
1000BASE-LX 1310nm “| MMEF 62.5 500 550 
50 400 550 
50 500 550 
SMF 9.2 10km 
000BASE-BX ( 下 行 BX-D 与 上 行 BX-U 两 对 ) 
000BASE-BX-D 1310nm |SMF 标准 9.2 10km 
000BASE-BX-U 1490nm |SMF 标准 9.2 10km 
000BASE-ZD 1550nm |SMF 标准 10.0 40km 
000BASE-ZX 1550nm |SMF 标准 11.8 70~80km 
000BASE-EX 1550nm |SMF 标准 8.1 120km 
注 1: 160MHz/km 是 指 在 1km 以 内 使 用 160MHz 带宽 传输 信号 ， 在 2km 内 则 使 用 80MHz 带宽 传输 信号 。 
SFP+ ( 10Gbits ) 的 种 类 
SFP+ 种 类 波长 光纤 种 类 核心 尺寸 模式 带宽 传输 距离 
10GBASE-SR 850nm MMF 62.5hm 160MHz/km 26m 
62.5 200 33 
50 400 66 
50 500 82 
50 2000 300 
10GBASE-LR 1310nm SMF 标准 9.2 N/A 10km 
10GBASE-CX N/A Twinax 线 缆 = ”| N/A N/A 1~5m 




















注 1: Twinax 线 绕 是 使 用 两 种 金属 材料 将 双 绞 线 进行 屏蔽 后 的 线 绕 。 


CONDUCTORS ( 导线 ) BLUE ( 蓝 ) 

































©. 
DIELECTRIC ( 绝缘 材料 ) 、 a 
ee) 
ee he pe OUTER JACKET ( 外 部 包 豪 层 ) 
( 白色 或 本 色 ) ( 填充 物 ) “( 编制 屏蔽 物 ) 





01.04.10 LED 指示 灯 


安装 于 网 络 设备 正面 的 LED 指示 灯 ， 能 够 使 用 户 对 设备 的 系统 运行 状态 和 接口 状态 一 目 了 
然 。 大 部 分 设备 会 在 机 号 外 部 的 某 个 地 方 集中 放置 多 个 LED 指示 灯 ， 但 也 有 的 设备 是 在 物理 接 
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口 处 放置 LED 指示 灯 。 
二 区 四 ”LED 指示 灯 的 种 类 

指示 灯 说 明 
电源 LED 电源 接 通 时 指示 灯亮 ， 电 源 断 开 时 指示 灯 熄 灭 
系统 LED 系统 运行 正常 时 指示 灯 显 示 绿 色 ， 当 有 错误 发 生 时 变 为 红色 
LINK/ACT LED ( 接口 LED ) 来 表示 接口 是 否 连 通 ， 是 否 有 数据 在 该 接口 处 传输 。 一 般 每 一 个 接口 上 都 会 有 该 

和 示 灯 











以 思科 公司 的 Catalyst 3750 为 例 ( 资料 来 源 于 产品 的 安装 手册 ) 





blsco SYSTENS 














1 | MODE BUTTON 5 | STATUS LED 
2 | Stack LED 6 | MASTER LED 
3 SPEED LED Wl RPS LED 

4 | DUPLEX LED 8 | SYSTEM LED 

















01.04.11 操作 系统 ( 内 核 ) 





一 般 网 络 设备 中 安装 和 使 用 的 操作 系统 都 是 采用 类 似 Unix 这 种 厂商 独自 研发 的 实时 操作 系 
统 内核 ， 或 是 基于 开源 的 FreeBSD 和 Linux 定制 的 系统 。 网 络 设备 中 比较 有 名 的 操作 系统 有 思科 
公司 的 IOS 以 及 Juniper Networks 公司 的 JUNOS。 
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E32》 每 个 产品 对 应 操作 系统 的 名 称 
厂商 /产品 名 称 操作 系统 名 称 
Cisco 路 由 器 IOS (Internetwork Operation System ) 




















Cisco Catalyst 交换 机 


CatOS ( Catalyst 操作 系统 ) 
































Cisco Nexus 交换 机 NX-OS 

Juniper 路 由 器 、 交 换 机 、 防 火 墙 ( SRX ) JUN 操作 系统 ( Juniper 操作 系统 ) 
Juniper 防火 墙 ( SSG ) ScreenOS 

Fortinet FortiGate FortiOS 





F5 Networks Big-IP/Firepass 等 


TMOS ( Traffic Management Operating System ) 





Palo Alto Networks 防火 墙 








PANOS 





01.04.12 电源 

















网 络 硬 件 使 用 的 电源 (Power Supply ) 有 AC 电源 和 DC 电源 两 类 ， 其 中 AC 是 交流 电源 
( Alternative Current )，DC 是 直流 电源 ( Direct Current )。 

家 庭 或 普通 企业 使 用 的 几乎 都 是 AC 电源 ， 大 型 数据 中 心 和 通信 基础 设施 公司 中 的 大 型 设备 
有 时 会 使 用 DC 电源 ( 表 1-45 )。 

AC 电源 分 为 内 部 电源 和 通过 外 接 AC 电源 适 配 需 的 外 部 供电 两 类 。 中 型 规模 以 上 的 网 络 便 















































件 一 般 会 
电力 
























































内 置 电 源 模块 (power module )， 小 型 设备 则 多 使 用 AC 电源 适 配 需 。 











运行 使 用 单 相 的 电源 和 参数 。 一 部 分 大 型 路 
面 就 以 AC 单 相 交流 电源 为 主 进行 介绍 。 


公司 提供 的 电力 可 以 分 为 民用 ( 单 相 ) 与 工业 用 (三 相 ) 两 类 ， 但 几乎 所 有 的 网 络 设备 


由 顺 也 会 使 用 三 相交 流 电 ， 但 需要 配备 相关 设备 。 下 



























































































































































人 ES 世纪 电源 的 种 类 
电源 的 种 类 用 途 
AC 电源 电源 内 置 型 ( 单 相 ) 机 架 式 网 络 设备 
电源 内 置 型 ( 三 相 ) 超大 型 路 由 器 ( CRS-1、T1600 等 ) 的 可 选 电源 
外 部 电源 型 ( 单 相 100V 的 AC 电源 适配器 ) | 桌面 小 型 网 络 设备 
DC 电源 大 型 网 络 设备 的 可 选 电源 
































男 电源 规格 
在 对 数据 中 心 和 办 公 室 服务 器 机 房 的 电源 进行 设计 时 ， 还 必须 要 确认 网 络 硬件 所 需 电 源 的 规 
格 。 在 表 1-46 中 列 出 了 一 些 主要 电源 规格 参数 。 
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参数 说 明 参考 值 
AC 输入 电压 即 AC 电源 在 规格 范围 内 输入 的 标准 电压 。 日 本 一 般 | 100~240VAC 
( AC input voltage ) 使 用 100V 单 相 交流 电 作 为 输入 电压 ， 不 过 世界 范围 内 
使 用 的 电压 几乎 都 在 100~240V 之 间 。 该 参数 单位 为 
VAC ( 交流 伏特 ) 
AC 输入 频率 AC 电源 对 应 的 、 输 入 交流 电 的 频率 ， 参 数 单位 为 蔡 效 | 47~63Hz 
AC input frequency ) | (Hz )。 以 日 本 为 例 ， 东 日 本 是 50Hz， 本 是 60Hz 
AC 输入 电流 即 流入 AC 电源 的 电流 数值 ， 通 过 “消费 电能 = (输入 | 3A ( 110V) 
AC input current ) 有 压 x 功率 x 转化 率 ”的 公式 计算 而 得 。 人 参数 单位 | 2A ( 230V ) 
为 安培 (人 A )， 该 单位 会 根据 输入 电压 的 不 同 而 变化 
DC 输入 电压 DC 电源 对 应 的 输入 电压 。 单 位 为 VDC ( 直流 伏特 ) 18VDC、 -60VDC ( 范围 为 -40~ 
DC input voltage ) -72VDC ) 














DC 输入 电流 
DC input current ) 








流入 DC 电源 的 电流 值 。 通 过 “消费 电能 = 输入 电压 ” 
的 公式 计算 而 得 


58A ( DC-48V 入 最 大 70A ( DC-48V ) 

















内 和 A 
消费 电能 








power consumption ) 




















》 


产品 运行 所 消耗 的 电能 。 有 时 会 用 最 大 消耗 电能 、 平 均 























52W ( 177BTU/hr ) 





























消耗 电能 的 表示 进行 区 分 。 单 位 为 瓦特 ( W ) 或 英 热 量 
寻 小 时 ( BTU/hr ) 




















*BTU 是 British Thermal Unit 的 缩 
写 ， 属 于 英制 热量 单位 







































































































































































发 热量 产品 ( 电源 ) 发 热 的 统计 量 。 网 络 硬 件 常 使 用 的 单位 虽 | 525BTU/hr 
heat dissipation ) 然 是 BTU/hr ( 英 热 量 每 小 时 )， 但 是 也 可 以 cal/hr 

( 千 卡 每 小 时 ) 或 KJ/hr ( 千 焦 每 小 时 ) 
效率 ( efficiency ) 输出 电力 与 有 效 输入 电力 的 比值 。 效 率 = 输出 电力 = | 85% 








有 效 输入 电力 x 100% 














功率 因子 
( power factor ) 




















六 


有 功 功 率 和 视 在 功率 的 比值 。 功 率 
电 转 化 为 直流 电 的 效率 越 高 








子 越 高 ， 说 明 交 流 

























































































使 局 功 率 妹子 电路 可 以 使 该 值 达 
到 0.95 以 上 ,一般 在 0.6~0.7 之 间 。 









































瞬间 起 峰 电 流 
( Inrush current ) 

















在 电源 接 通 输入 电压 的 瞬间 产生 的 电流 的 峰值 











115V 时 为 30A 








漏电 流 ( leak current ) 
































在 原本 不 会 有 电流 流通 的 电路 上 出 现 的 电流 。 一 般 在 集 
成 电路 中 发 生 




















AC264V 时 在 0.25mA 以 下 








国 元 余 电源 














高 端 网 络 硬件 的 电源 模块 一 般 会 配备 至 少 两 个 电源 模块 作为 元 余 电 源 (Redundant Power 


Supply ) 方案 。 宛 余 





保证 人 硬件 继续 运 


云 行 。 





TH 


EE 源 的 好 处 在 于 当 一 个 电源 无 法 供电 时 ， 男 




















一 个 电源 能 够 迅速 接手 其 工作 ， 
电源 无 法 供电 的 原因 有 电源 模块 本 身 故 障 、 电 源 线 线 断 开 、 停 电 ， 等 等 。 


是 
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Dual AC 输入 型 电源 ( 一 个 电源 模块 搭载 两 个 电源 的 类 型 ) 





MRE 


国 电源 容量 

设备 所 需 的 电源 容量 根据 设备 大 小 的 不 同 而 不 同 。 一 般 来 说 ,使 用 AC 电源 适配器 的 台式 计 
算 机 的 设备 ， 其 电源 容量 和 笔记 本 电脑 的 差不多 ( 从 几 十 瓦 到 100 瓦 之 间 不 等 )， 中 型 路 由 器 及 
交换 机 的 电源 容量 和 人 台式 计算 机 接近 (从 几 百 瓦 到 500 瓦 不 等 )， 高 端 产 品 一 般 为 500 瓦 至 数 千 
瓦 ， 需 要 配备 同 空调 、 电 磁 炉 等 类 似 的 电源 容量 。 


























电源 容量 示例 

Cisco 1812J 路 由 器 : 80W AC 电源 适配器 

Cisco 7200 系列 : 最 大 370W 的 AC 电源 或 DC 电 

Juniper T640: 最 大 6400W 的 AC 电源 
电源 容量 即 设 备 (包括 机 框 ) 配备 的 电源 模块 能 够 提供 的 最 大 功率 ， 需 要 与 之 区 别 的 是 设备 

参数 目录 中 另 一 项 称 为 “最 大 耗 电 量 ” 的 参数 ， 该 参数 表示 设备 运行 时 实际 需要 消耗 的 电能 。 它 

们 之 间 的 关系 是 “电源 容量 > 最 大 耗 电 量 "。 设 备 一 般 在 启动 时 和 CPU 满 负 载 处 理 时 最 为 耗 

而 设备 在 普通 状态 下 运行 所 消耗 的 电能 在 一 些 设备 的 产品 规格 目录 中 则 使 用 了 “平均 耗 电 量 ” 一 

词 来 表示 。 

电源 容量 以 及 耗 电量 的 单位 为 W (瓦特 )， 不 过 也 可 以 用 发 热量 的 单位 BTU/hr ( British 
























































源 







































































是 
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Thermal Unit per Hour， 英 热量 单位 /时 间 ) ?来 表示 。 





1 BTU/hrs 0.293W 
1 W=3.60 kJ/hrs=3.412 BTU/hr 














如 果 使 用 UPS (后 文中 会 提 到 )， 则 需要 计算 出 消耗 VA( 伏 安 ) 值 ， 然 后 以 此 作为 选择 UPS 
规格 的 依据 。 这 时 需要 使 用 到 下 面 的 公式 。 











消耗 VA= 消耗 电能 ( W ) = 功率 因子 



































功率 因子 是 有 功 功 率 和 视 在 功率 的 比值 ， 根 据 不 同 的 电路 类 型 数值 也 会 不 同 ， 但 一 般 在 
0.6~0.9 之 间 。 
消耗 VA 的 单位 是 VA( 伏 安 ), 通过 “电流 (A) x 电压 (V) 的 公式 计算 而 得 。 





转 AC 电源 适配器 

由 于 网 络 设备 是 面向 全 世界 销售 的 ， 因 此 AC 电源 适配器 主体 基本 都 是 全 世界 通用 的 ， 只 不 
过 组 合 使 用 的 AC 线 缆 可 能 会 根据 国家 的 不 同 而 异 。 日 本 从 2006 年 开始 规定 所 有 电气 商品 都 需 
要 满足 电 融 用 品 安全 法 的 安全 标准 、 获 得 PSE 认证 标志 ,没有 PSE 标记 的 电源 适 配 融 无 法 在 日 
本 市 场 上 销售 ， 因 此 从 海外 进口 的 产品 也 需要 完成 PSE 的 认证 才能 开始 销售 。 
AC 电源 适配器 


AC 电 源 适 配器 主体 DC 插头 
AC 线 绩 AP DC 线 绒 


国电 源 的 安全 标准 

使 用 网 络 硬件 这 类 电气 设备 或 产品 时 ， 需 要 有 和 针对 性 地 对 火灾 隐患 制定 安全 防范 标准 
( 表 1-47 )。 安 全 标准 一 般 由 国家 或 国际 组 织 制定 ， 销 售 的 产品 有 义务 取得 安全 标准 的 认证 。 在 地 
界 各 国 使 用 的 网 络 硬件 中 ， 电 源 模块 以 及 AC 电源 适配器 部 件 需 要 符合 各 国 认可 的 安全 标准 。 


























































铁 氧 体 磁 忆 























中 ”属于 英制 度量 衡 。 目 前 我 国 使 用 的 国际 标准 度量 衡 是 基于 1875 年 法 国 膏 头 指定 的 米 制度 量 。 英 制度 量 衡 历 史 悠 久 ， 
在 英语 国家 较为 流行 ， 目 前 仍 在 大 量 使 用 ， 如 品 脱 、 英 寸 等 。 但 由 于 其 进位 换算 过 于 复杂 ， 在 世界 范围 内 还 是 米 制 
度量 衡 的 使 用 更 为 广泛 。 译 者 注 
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I 认证 标志 示例 : Juniper SSG-5 





主要 安全 标准 








IFE 公 人 CeEO 














































































































































































































































































































































































































































































































































































































































































































































































































































































































安全 标准 说 明 
《电气 用 品 安全 法 》 《电气 用 品 管理 法 》 修 订 而 成 , 2001 年 开始 实施 。PSE 是 Product 
( PSE Safety Electrical Appliance&Material 的 缩写 ， 一 般 用 PSE 法 代 指 电器 
用 品 安全 法 。 
电气 用 品 分 为 “特殊 电气 用 品 ” 和 “非特 殊 电 气 用 品 ”两 类 。 特 殊 电气 _ 
用 品 有 义务 接受 审查 机 关 的 适应 性 检测 ， 并 保管 好 认证 书 。 另 外 ， 某 些 | ”特殊 电气 用 品 的 PSE 标志 
寺 殊 用 品 还 必须 有 PSE 认证 标志 ， 没 有 该 标志 的 用 品 禁 止 销售 。 海 外 
厂商 制造 的 通信 硬件 在 日 本 销售 前 ， 也 必须 接受 认证 机 构 对 属于 “ 特 - 
殊 电 气 用 品 ” 的 电源 序列 和 AC 电源 适配器 所 进行 的 检测 ， 获 得 PSE 
认证 后 方 可 销售 非特 殊 电气 用 品 的 PSE 标志 
UL UL 是 Underwriters Laboratories Inc. 的 缩写 *。 该 机 构 是 1894 年 美 
国 火 灾 保 险 业 联盟 设立 的 非 营利 性 测试 机 构 ， 是 美国 18 所 国家 认证 
实验 室 ( NRTL，National Recognized Testing Laboratory ) 之 一 ， 能 够 
进行 所 有 电气 产品 的 认证 测试 。 虽然 UL 认证 不 是 强制 的 ， 但 以 通信 Se 
设备 为 主 ， 众 多 美国 本 土 电气 产品 均 获得 了 UL 认证 人 
FCC FCC 是 Federal Communications Commission ( 联邦 通信 委员 会 ) 的 缩 
写 ， 成 立 于 1934 年 ， 是 美国 联邦 政府 管理 通信 、 电 信和 无 线 的 政府 机 
构 。 成 立 至 今 ， 该 机 构 制定 了 广播 、 电 视 、 卫 星 通信 、 无 线 通 信 等 多 FG 
个 领域 的 标准 ， 这 些 标准 覆盖 了 美国 国内 各 州 之 间 的 通信 与 国际 通信 和 领 . 
域 。 另 外 ， 无 线 电话 以 及 无 线 LAN 这 类 发 射 无 线 电波 的 硬件 必须 通过 FCC 认证 标志 
FCC 的 认证 后 才能 在 美国 国内 销售 
CSA Canadian Standard Association 的 缩写 ， 是 加 拿 大 对 于 电气 产品 的 安全 认证 。 在 加 拿 大 国内 销售 
的 电气 产品 均 需 通过 该 安全 认证 才能 得 到 销售 许可 。 在 UL 接受 安全 认证 撞 加 拿 大 产品 会 获得 
cUL 或 cULus 的 认证 标志 ， 这 个 标志 和 CSA 标志 同样 有 效 
CSA 标志 cULus 标志 
CE 认证 CE 认证 是 指 在 EU ( 欧盟 ) 地 区 销售 指定 商品 ( 包括 通信 设备 ) 时 需 
获得 的 安全 认证 。 符 合 EC 指令 ( EC Directive ) 中 规定 的 安全 标准 的 
产品 可 以 获得 CE 认证 标志 ， 不 符合 的 则 不 允许 在 欧盟 内 销售 
CE 认证 标志 
中 在 人 攻 机 构 为 UL 美 华 认 证 有 限 公 司 。 译 者 注 
@@ 这 里 EC 指令 中 的 指令 是 欧盟 法 案 的 一 种 称呼 。 译 者 注 
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( 续 ) 
安全 标准 说 明 
IEC、CB IEC 是 International Electrotechnical Commission 的 缩写 ， 是 一 个 国际 电气 标准 会 议 的 国际 标准 化 
组 织 *。 它 颁布 了 保证 电气 产品 品质 与 安全 性 的 标准 评价 制度 IECEE (IEC System for Conformity 
Testing and Certification of Electric Equipment，IEC 电工 产品 安全 认证 体系 )， 并 以 此 为 基础 设 






















































































































































































国 电源 线 线 
































































































































































































































电源 线 缆 由 线 缆 、 插 头 、 搬 口 、 连 接头 等 部 分 构成 。 








在 日 本 销售 的 线 缆 的 插头 和 插口 如 表 1-48 所 示 。 











电源 线 缆 的 组 成 要 素 








立 了 CB ( Certification Body ) 框 架 。 凡 是 在 某 个 IECEE 成 员 国 国内 的 认证 机 构 (NCB，National 
Certification Body ) 完 成 产品 测试 ， 并 获得 CB 认证 的 产品 ， 均 可 获得 其 他 成 员 国 NCB 机 构 的 认证 ， 
免 去 了 二 次 测试 认证 的 麻烦 ? 
EN EN ( European Norm ) 也 称 为 European Standard ( 欧洲 标准 )， 它 是 
欧盟 成 员 国之 间 为 了 贸易 自由 化 以 及 产业 水 平 统一 化 而 制定 的 区 域 标 1415 
准 。 符 合 EN 标准 的 产品 可 获得 ENEC 认证 标志 ， 可 以 在 整个 欧盟 地 
区 内 销售 ENEC 标志 ( 数字 表示 
认证 机 关 的 编号 ) 
VCCI VCCI (Voluntary Control Council for Interference by Information 
Technology Equipment， 电 磁 干 扰 控制 委员 会 ) 是 对 通信 硬件 等 信息 
技术 设备 发 射 的 无 线 电波 ( 从 设备 内 对 外 发 射电 磁 破 ) 进 行 协定 的 业 
内 团体 ， 同 时 也 是 标准 名 称 。 对 商业 、 工 业 区 域 允许 使 用 的 设备 定 级 
为 Class A， 对 于 住宅 地 区 人 允许 使 用 的 设备 定 级 为 Class B。Class A 
的 设备 需要 专用 的 机 架 和 服务 器 机 房 进行 安置 ，Class B 的 设备 要 求 “ENE 
则 相对 宽松 





线 缆 的 组 成 要 素 


范例 





插头 种 类 


2 极 ( NEMA1-15p、JIS C 8303、Lath 1 ) 





2 极 配备 接地 线 





3 极 (NEMA5-15p ) 

















(DD 我 国 称 其 为 国际 电工 委员 会 。 
@@ IECEE-CB 可 以 理解 为 一 种 证 书 互 认 的 体系 。 





译 者 注 





译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 苯 


重 版 权 





46 | 第 1 章 网 络 硬件 通用 基础 知识 





线 缆 的 组 成 要 素 范例 
插口 种 类 2 极 (IEC 60320-C7 ) 
“多 AC 电源 适配器 





















































3 极 (IEC 60320-C13 ) 

的 内 置 电源 或 AC 电源 适配器 
3 极 (IEC 60320-C5 ) 

# 多 AC 电源 适配器 






















































































线 缆 连接 头 的 种 类 2 极 (IEC 60320-C7 ) 
* AC 电源 适配器 






































3 极 (IEC 60320-C14 ) 






















































































站 内 置 电源 、AC 电源 适配器 、PDU (机 
架 电源 ) 竺 

线 缆 长 度 8ft ( 8ft=2.44 米 ) 居 多 

规格 7A-125V ( 125V、7A 内 均 可 使 用 ) 
































01.04.13 ”PSE ( 电气 用 品 安 全 法 ) 


该 法 由 《电气 用 品 管理 法 》 修 订 而 来 ， 于 2001 年 起 正式 实施 ，2006 年 之 后 ， 规 定 PSE 标志 
作为 一 种 义务 必须 予以 标识 (图 1-36 )。 大 多 进口 自 国外 厂商 的 网 络 硬件 在 日 本 国内 销售 时 也 必 
须 通 过 PSE 认证 ， 尤 其 是 电源 线 缆 和 AC 电源 适配器 这 种 属于 《电气 用 品 管理 法 中 》 ”特殊 电气 
用 品 ” 的 硬件 ， 必 须 通 过 指定 机 构 的 测试 才能 进行 销售 。 


I ”PSE 标志 
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01.04.14 UPS 


网 络 硬件 一 般 需 要 电源 才能 运转 ， 但 有 时 因为 某 些 原因 (如 表 1-49 )， 可 能 会 出 现 突然 停电 
的 情况 。 停 电 时 ， 所 有 设备 全 部 停止 运行 ， 通 信也 会 中 断 。 即 使 是 突然 停电 ， 几 乎 所 有 的 路 由 
怖 、 交 换 机 等 网 络 设备 产品 也 能 在 恢复 供电 后 自动 恢复 运行 ,重新 开始 通信 。 但 是 那些 基于 通用 
服务 器 的 网 络 硬件 则 需要 在 电源 关闭 之 前 运行 关机 命令 。 另 外 ， 当 设备 在 进行 磁盘 写 人 操作 时 ， 
突然 停电 可 能 会 导致 正在 写 和 的 数据 丢失 ， 甚 至 会 导致 供电 恢复 设备 也 无 法 再 次 启动 。 

因此 即使 是 那些 无 需 关 机 命令 的 网 络 硬件 ， 为 了 提高 可 靠 性 ， 也 建议 配备 UPS 
( Uninterruptible Power Supply， 不 间断 电源 供应 系统 )。 设备 配备 了 UPS 后 ， 即 使 遇 到 停电 ， 
UPS 也 能 够 向 所 连接 的 设备 提供 一 定时 间 的 电力 供应 。 一 般 来 说 ，UPS 持续 提供 电力 的 时 间 在 
几 分 钟 到 30 分钟 不 等 。 如 果 需 要 应 对 更 长 时 间 的 停电 ， 就 需要 自 备 发 电机 了 。 


人 EE 区 外 ”电源 故障 的 原因 示例 


供电 设备 故障 突然 高 负载 用 电 ， 导 致电 闸 跳 闸 
启动 时 电流 过 高 导致 电压 波动 
设备 老化 导致 输出 功率 下 降 




































































































































































输电 装置 或 电子 设备 的 开关 等 发 生 “ 电 力 噪声 ” 
雷电 导致 的 故障 输电 系统 故障 导致 停电 ( 可 用 UPS 应 对 ) 












































慰 避 雷 设施 机 制 引 发 的 瞬间 停电 和 电力 变 弱 
雷电 引发 的 电力 噪 F 



















































































































































































寻 雷 电 引 发 的 电压 异常 陡 增 与 电流 异常 陡 增 ( 雷电 浪 涌 电 流 ) ( 需要 使 用 防 浪 涌 
电流 装置 ) 

人 为 引起 的 故障 故意 或 不 小 心切 断 电源 线 缆 导 致 跳闸 
预先 通知 了 的 、 由 于 施工 或 检查 等 商业 原因 的 停电 



























































01.04.15 “风扇 


中 端 级 别 以 上 的 网 络 设备 大 多 配备 冷却 风扇 ( Fan ) (图 1-37)， 这 是 由 于 设备 内 部 运行 部 
件 的 半导体 元 顺 件 ， 尤 其 是 CPU 在 运行 中 会 散发 大 量 的 热量 。 如 果 不 冷 却 ， 会 导致 系统 过 热 
( over heat )， 影 响 半 导体 工作 ， 甚 至 导致 其 停止 运行 。 另 外 ， 过 热 也 会 减少 CPU 以 及 其 他 半 导 
体 部 件 的 正常 使 用 寿命 。 

但 风扇 也 有 一 个 缺点 ， 那 就 是 由 于 它 是 笔 马 达 带 劲 叶片 旋转 工作 的 ， 因 此 噪声 很 大 。 

一 般 设 备 中 会 通过 特定 的 传感器 监视 风扇 的 运转 是 否 正 常 。 当 风扇 转速 低 于 某 个 数值 时 ， 会 
引发 SNMP trap 或 系统 日 志 事 件 ， 进 行 记录 输出 。 

在 高 端 网 络 设备 中 ， 还 会 配备 能 够 在 设备 处 于 运行 状态 时 也 能 替换 〈 即 热 插 拔 ) 的 风扇 部 件 
(如 图 1-38 所 示 ， 叫 做 风扇 单元 或 风扇 模块 ) 这 使 得 设备 在 遇 到 风 书 故障 时 ， 能 够 迅速 蔡 换 掉 
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不 工作 的 风扇 模块 。 


风扇 IEE 司 ”Cisco Catalyst 2360 系列 的 风扇 模块 





国 气流 导向 

为 了 使 设备 风扇 在 机 框 内 部 能 够 有 效 冷 却 部 件 ， 还 会 设计 一 套 气 流 导 向 (AirFlow， 空 气 
的 流通 )。 根据 吸 气 口 与 风扇 的 位 置 ， 设 有 从 机 架 的 一 个 侧面 到 另 一 个 侧面 ( side to side， 如 图 
1-40 )、 从 前 面 到 背面 (front to rear， 如 图 1-41 )、 从 上 面 到 下 面 (top to bottom ) 等 几 个 方向 的 气 
流 导 向 。 网 络 便 件 一 般 安 放 在 服务 器 机 房 或 数据 中 心 这 类 有 温 探 设施 的 地 方 ， 在 进行 机 架 的 安装 
操作 (rack mount ) 时 ， 一 定 要 注意 气流 导向 。 

如 果 气 流通 过 的 地 方 堵塞 ， 或 者 空 除 很 小 导致 通气 不 畅 ， 就 会 引起 设备 内 部 CPU 过 热 ， 这 
些 问 题 必 须 引 起 重视 。 

有 时 电源 模块 还 会 配备 专用 的 风扇 ， 专 门 冷却 电源 部 分 。 


二 气流 导向 结构 图 


















风扇 模块 


排 气 .77 


全 妆 | 

















吸 气 
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侧面 到 侧面 的 气流 导向 示例 

















国 无 风扇 散热 

低 端 或 桌面 式 的 设备 因为 使 用 发 热量 相对 较 少 的 CPU， 因 此 设备 中 一 般 不 安装 风扇 ， 而 是 
使 用 散热 片 或 表面 散热 等 技术 。 

表面 散热 需要 使 用 散热 性 较 好 的 金属 做 机 身 ， 使 设备 内 部 的 温度 不 会 太 高 。 

使 用 了 无 风扇 散热 技术 后 ， 就 不 会 有 噪声 了 。 


散热 片 ( CPU 以 及 半导体 上 安装 的 散热 装置 ， 可 以 发 散热 量 ， 使 温度 下 降 ) 
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01.05 ” 线 线 与 周边 设备 


01.05.01 双 绞 线 缆 


双 绞 线 缆 一 般 也 称 为 LAN 网 线 或 缠绕 对 线 。 
该 线 缆 两 根 细 导 线 一 组 ,一 共 4 组， 外 部 包 于 着 线 套 。 双 绞 线 的 两 端 如 图 1-43 所 示 ， 使 用 
RJ-45 的 连接 头 。 


局 RJ-45 连接 头 








. RJ-45 
Pin1 


Pin8 





QO05020 ST 








双 绞 线 分 为 外 部 有 屏蔽 的 STP 和 没有 屏蔽 的 UTP 两 类 ， 其 中 UTP 的 应 用 比较 广泛 。 
ED STP 与 UTP 


Shielded Twist Pair 包 衰 在 外 部 ， 以 减少 外 部 电气 噪声 干扰 的 线 绕 ， 也 称 为 屏 1 
般 在 工地 等 噪声 干扰 较 多 的 地 方 使 
Unshielded Twist Pair 任何 屏蔽 的 双 绞 线 ， 也 称 为 无 屏蔽 绕 线 。 一 般 用 在 家 庭 和 办 公 室 








































































































国 类 别 


双 绞 线 如 表 1-51 所 示 ， 分 成 了 几 种 规格 。 规 格 较 高 的 线 缆 可 以 代替 规格 较 低 的 线 缆 , 如 6 类 
或 7 类 的 线 缆 可 以 代替 100BASE-TX。 





双 绞 线 的 类 别 






























































类 别 种 类 传输 速率 频率 适用 范围 规格 
1 UTP 20kbit/s 没有 规定 电话 ( 语音 ) 没有 推荐 标准 
2 UTP 4Mbit/s 64kHz 令 牌 环 、ISDN、 数 字 PBX 没有 推荐 标准 

















图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


01.05 ” 线 费 与 周边 设备 | 51 


( 续 ) 

传输 速率 频率 适用 范围 规格 
16Mbit/s 16MHz 0BASE-T、 令 牌 环 EIA/TIA-568-B 
20Mbit/s 20MHz 令 牌 环 、10BASE-T、100BASE-T4 | 没有 推荐 标准 


100Mbit/s (2 对 )、| 100MHz O00BASE-TX、155Mbit/s ATM EIA/TIA-568-A 
1Gbit/s (4 对) 


100Mbit/s (2 对 )、| 100MHz 00BASE-TX、1000BASE-T EIA/TIA-568-B 
1Gbit/s (4 对) 


1.2/2.4Gbit/s 250MHz O00BASE-T、10GBASE-T EIA/TIA-568-B 
10Gbit/s 550MHz OGBASE-T EIA/TIA-568-B.2-10 
10-100Gbit/s 600MHz OGBASE-T EIA/TIA-568 






























































注 1: 5e 表示 5 类 增强 型 (category 5 enhanced ) 
注 2: 6a 表示 6 类 扩展 (category 6 augmented ) 


01.05.03 光纤 





光纤 常用 于 实现 超 高 速 的 数据 传输 。 虽 然 双 绞 线 也 能 完成 10Gbit/s 速率 的 数据 通信 ， 但 是 传 
输 距离 较 短 ， 所 以 长 距离 的 高 速 通 信 一 般 部 采用 光纤 来 进行 。 

光纤 的 基本 材料 多 采用 透 光 率 非常 高 的 石英 等 ， 由 这 些 材 料 形成 了 一 个 模 截 面 中心 部 分 
( core ) 折射 率 较 高 ， 周 围 的 金属 包 层 ( clad ) 则 折射 率 较 低 的 同心 圆 延伸 结构 。 

由 于 该 构造 的 特殊 性 ， 能 够 将 直射 光 封 闭 在 光纤 内 部 (使 光 信号 在 截面 中 心 部 分 和 人 金属 包 层 
处 反射 ) 进行 传输 ， 从 而 能 够 自由 改变 光 的 传播 线路 。 




















国 单 模 与 多 模 

光纤 有 单 模 光 纤 ( SMF ) 和 多 模 光 纤 ( MMEF ) 两 个 规格 ， 二 者 的 传输 距离 不 同 。 

单 模 光 纤 ( SM，Single Mode ) 是 指 通 过 一 个 光 信号 来 传输 数据 ， 主 要 用 于 长 距离 的 数据 传 
输 , 在 ITU-T G.652~657 建议 文件 中 给 出 了 标准 化 参考 。 

多 模 光 纤 ( MM，Moulti Mode ) 使 用 多 个 光 信 号 来 传输 数据 ， 它 的 特点 是 光纤 的 中 心 部 分 直 
径 很 长 ， 能 够 承受 很 大 的 弯曲 。 由 于 该 光纤 在 传输 过 程 中 损耗 较 大 ， 因 此 只 适合 用 于 短 距 离 的 传 
输 ( 表 1-52 )。 











QD 国内 一 般 统称 超 5 类、 超 6 类。 


译 者 注 
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光纤 的 种 类 





光纤 种 类 


模式 ( 规格 ) 





SI ( Step Index ) 


MMF 





中 心 部 分 折射 让 
































部 分 发 生 全 反射 ， 在 中 ， 


如 多 所 示 ， 光 在 某 些 模式 下 沿 



























































续 反 射 ， 

























































































带 。， 所 以 









































说 明 
定 的 光纤 。 光 在 中 心 部 分 与 周围 包 层 的 边界 
心 内 部 分 成 多 个 模式 ( 光 的 路 径 ) 传 播 。 
线 传 播 ， 而 在 某 些 模式 下 则 连 
这 就 导致 所 传输 的 光 信 号 发 生 扭 曲 ， 从 而 形成 扭曲 察 
前 几乎 已 不 再 使 用 这 种 光纤 
折射 率 分 布 








GI ( Graded Index ) 


MMF (ITU-T G.651 ) 


调整 中 心 折 射 率 分 布 ， 使 得 中 心 部 分 折射 率 很 高 ， 外 部 折射 率 
沿 径 向 递减 的 光纤 。 尽 管 与 中 心 的 光束 相 比 ， 越 靠 外 部 ， 全 反 


射 的 光束 传播 距离 越 长 ， 


的 反比 例 关系 ， 使 整个 光纤 的 折射 率 分 布 最 佳 。 当 所 有 模式 的 
光束 传播 时 间 相 互 接近 时 ， 光 信号 的 分 散 也 越 小 。 一 般 光 纤 中 


心 的 直径 为 50pm ( 日 本 ) 或 者 65 hm (也 称 为 FDDI 级 别 ， 主 





























但 是 可 以 充分 利 





传输 速率 与 折射 率 













































































在 美国 使 用 ) 














折射 率 分 布 























通用 单 模 ( SM ) 








SMEF (ITU-T G.652 Table B) 





中 心 部 分 直径 很 小 ， 只 能 通过 
旺 
AE 




















当 光 束 波长 为 1310nm 时 ， 色 散 为 零 ， 因 此 1310nm 光束 的 





个 模式 的 光纤 。 该 光纤 的 设计 























专 播 性 能 非常 优越 。 单 模 能 够 防止 模式 色散 造成 的 光 信 号 扭曲 ， 
传输 损耗 也 很 小 









































DSF (Dispersion 
Shifted Fiber， 色 散 位 
移 光 纤 ) 





SMEF (ITU-T G.653 ) 
























































长 距离 传送 的 单 模 光纤 。 利 
长 处 于 1550nm 时 传输 
得 光束 波长 色散 在 1550nm 处 最 小 ， 并 使 零 色 散光 束 波长 在 
1550nm 中 发 生 位 移 








石英 制 成 的 光纤 在 光束 波 
的 特点 ， 改 变 折 射 率 的 分 布 使 























员 耗 最 小 














NZ-DSF ( Non-Zero 
Dispersion Shifted 
Fiber， 不 归 零 色散 位 
移 光纤 ) 











SMF (ITU-T G.655 ) 





通过 将 零 色散 光束 波长 
波长 分 散 的 方式 ， 抑 制 了 在 1550nm 处 非 线性 传播 的 光纤 。 











人 1550nm 处 逐步 向 外 位 移 来 抑制 光束 





























于 大 容量 WDM 长 距离 


支持 的 光波 频道 较 宽 ， 





因此 能 够 稳定 地 传输 信号 。 一 般 适 用 












































光束 波长 多 次 分 割 ) 或 广域网 络 中 使 
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光纤 种 类 与 适用 范围 


传输 速率 
40Gbps 
NZD 
10Gbps 
SM/DSF 
1Gbps 
GI 
600m 1km 10km 传输 距离 


国 光纤 的 规格 

在 ISO/TEC 11801 标准 中 定义 了 多 模 光 纤 的 标准 OM1、OM2、OM3 与 单 模 光 纤 的 种 类 OS1。 
男 外 ， 在 ISO/IEC 24702 的 标准 中 定义 了 单 模 光 纤 标 准 OS2。2009 年 的 EIA/TIA 492-AAAD 标准 
中 又 定义 了 多 模 光 纤 标 准 OM4。 这 些 标准 统称 为 OF ( Optical Fiber ) 类 型 。 

OMI1 历来 使 用 LED 光源 ， 该 多 模 光 纤 用 于 干粮 以 太 网 时 ， 最 大 传输 距离 限定 为 200m。 
OM2 则 改良 了 多 模 光 纤 的 最 低 模 式 带 宽 ， 使 之 可 以 达到 S00MHz/km， 在 千 兆 以 太 网 中 传输 吕 
离 为 500m。OM3 使 用 了 VCSEL2 光源 ， 是 被 称 为 最 适合 激光 传输 的 光纤 标准 ， 能 够 将 波长 为 
850nm 的 激光 的 折射 率 调整 为 最 佳 状 态 后 用 于 万 兆 以 太 网 传输 。OM4 标准 也 被 称 为 OM3+， 属 
于 新 一 代 光 纤 标 准 范畴 ， 用 于 长 距离 的 万 兆 以 及 40G/100G 以 太 网 的 传输 ( 表 1-53 )。OS1 与 OS2 
属于 单 模 光 纤 标 准 ， 其 参数 如 表 1-54 所 示 。 一 般 会 使 用 不 同 的 颜色 在 线 缆 上 标识 出 不 同 的 光纤 
标准 ，OM1/OM2 使 用 桶 黄色 、OM3/OM4 使 用 淡 蓝 色 、OS1/OS2 则 使 用 黄色 。 


多 模 光 纤 的 种 类 




















| 




















最 低 模式 带宽 ( MHz/km ) 守 ' 
过 载 . 发 射 带宽 有 效 激光 “' 发 射 带宽 
850nm 1300nm 850nm 1300nm 850nm 
62.5 有 1 200 没有 规定 
50 500 没有 规定 





中 心 直 径 最 大 衰减 量 ( dB/km ) 守 ' 
(hm ) 

















50 2,000 























50 : 4,700 





注 1: 850nm、1300nm 是 激光 的 波长 。 





中 Vertical Cavity Surface Emitting LASER (垂直 腔 面 发 射 激光 器 ) 的 缩写 ， 属 于 半导体 激光 的 一 种 。 
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单 模 光 纤 种 类 











最 大 衰减 量 ( dB/km ) 兰 ! 
类 别 
1310nm 1383nm 1550nm 
1.0 没有 规定 1.0 
0.4 0.4 0.4 

















注 1: 1310nm、1383nm、1550nm 是 激光 的 波长 。 


多 模 光 纤 在 以 太 网 中 最 大 的 传输 距离 
1000BASE-SX 
275m 


40GBASE-SR4 
没有 规定 
没有 规定 


100m 


10GBASE-SR 100GBASE-SR10 








33m 


< 
妈 月 














550m 
没有 规定 
没有 规 


82m 


A 
令 恨 


100m 





300m 
550m ( 500m ) 














125m 125m 
















































































注 1: 在 近 距 离 中 使 用 该 标准 ， 有 时 会 由 于 光 能 量 过 强 等 原因 无 法 通信 。 
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人 RE》 以 太 网 与 光纤 的 传输 标准 
传输 标准 光纤 种 类 传输 速度 | ” 线 缆 规格 
传输 方式 | 适用 标准 说 明 
1000BASE- | IEEE 用 多 模 光纤 传输 波长 为 850nm 的 光 | MMF | Gl 50/125 | 1Gbiys | MMF、OMI1、 
SX 802.3z 言 号 G162.5/125 OM2 
1000BASE- 更 用 单 模 或 多 模 光 纤 传 输 波长 为 1300nm | MMF | GI 50/125 MMF、OMI1、 
LX 的 光 信号 G162.5/125 OM2 
SMF | SM SMF、OS1 
10GBASE- | IEEE 多 模 光 纤 传 输 波 长 为 850nm 的 光 信 | MMF | GI 50/125 | 10Gbits | MMF、OM3 
SR/SW 802.3ae | 号 ， 用 于 短 距离 通信 (LAN : 10GBASE- G162.5/125 
SR, WAN : 10GBASE-SW ) 
10GBASE- 使 用 单 模 光纤 传输 波长 为 1310nm 的 光 信 | SMF | SM SMF、0OS1 
LR/LW 号 < 距离 通信 (LAN : 10GBASE- 
LR，WAN : 10GBASE-LW ) 
10GBASE- 使 用 单 模 光纤 传输 波长 为 1550nm 的 光 信 
ER/EW 号 和 距离 通信 (LAN : 10GBASE- 
ER，WAN : 10GBASE-EW ) 兰 ， 
10GBASE- 使 用 单 模 或 多 模 光 纤 传 输 波 长 为 1310nm | MMF | GI 50/125 OM1、OM2、 
LX4 ( WDM ) 的 光 信 号 ， 采 用 多 重信 号 (4 重 ) 传 输 。 GI 62.5/125 OS1 
SMF | SM 


这 种 情况 需要 配合 使 用 光 衰 减 器 (attenuator ) 来 
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国 光纤 线 缆 连 接头 


在 网 络 硬件 上 连接 光纤 线 绕 ,需要 使 用 配备 好 连接 头 的 光纤 。 使 用 的 连接 头 需 要 符合 板 载 
(安装 在 网 络 硬件 中 ) 的 光 接 口 或 光电 信号 转换 口 的 形状 ( 表 1-57 )。 














光纤 线 缆 连 接头 种 类 
连接 头 名 称 


说 明 形状 

TT 开发 的 方形 连接 头 ， 由 发 送 ( TX) 与 接 
收 ( RX) 两 个 必 备 连接 头 组 成 。SC 是 Square- 
shaped Connector 的 缩写 。 这 种 接头 还 分 为 只 
有 一 个 接口 的 单 工 连 接头 ( simplex ) 和 有 两 个 接 
的 双 工 连接 头 ( duplex )。 符 合 


。 符 合 JIS C5973 标 
准 ， 可 以 与 板 载 光纤 接口 或 GBIC 连接 





SG 

























































































ST ST (Straight Tip connector ) 连 接头 为 朗讯 公司 
( 现 为 阿尔 卡特 -朗讯 公司 ) 的 注册 商标 
邮 





















































EC 











FC 是 Fiber Connector 的 缩写 。 符 合 JIS C5970 
标准 














EC 

















朗讯 公司 开发 的 连接 头 ，LC 是 Local Connector 


的 缩写 。 可 连接 板 载 光纤 接口 ( 100BASE-X ) 或 
SFP ( mini-GIBC 
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连接 头 名 称 


识 


说 明 

















MTRJ ( MT-RJ ) 与 其 他 连接 头 





不 同 ， 它 是 将 TX ( 发 送 ) 与 RX 











( 接收 ) 收 拢 在 





单个 小 连接 头 中 ， 这 样 就 可 以 在 





























很 小 的 面积 








容纳 数量 众多 的 接口 。MTRJ 是 












































Mechanically Transferrableferrule-Registered 
Jack style Connector 的 缩写 。 可 连接 板 载 接 















































































































































01.05.04 机 染 








JIS C5983 标准 





或 SFP 使 村 
MU NTT 开发 的 连接 头 ， 体 积 很 小 ， 因 此 在 1 个 
路 由 器 或 者 传输 装置 中 能 够 容纳 多 个 接口 。 符 合 S 
















































































为 了 能 高 效 利用 空间 ， 同 时 安装 多 个 网 络 人 硬件 而 使 用 的 机 架 ( rack ) 叫做 19 英寸 机 架 ， 该 名 
称 来 自 于 安装 硬件 的 面板 宽度 ， 即 机 架 两 根 支柱 的 间距 为 19 英寸 。 而 且 机 架 的 规格 在 TIA/EIA- 


310-D 与 JIS C 6010-2 中 也 完成 了 标准 化 工作 ?( 表 1-58 )。 市 场 上 销 











售 的 19 英寸 机 架 分 为 EIA 标 

















准 商品 与 JIS 标准 商品 ， 由 于 二 者 无 法 兼容 ， 因 此 在 选择 时 需要 注意 区 别 。 





机 架 的 规格 与 尺寸 









































TIA/EIA-310-D ( EIA 标准 ) JIS C 6010-2 ( JIS 标准 ) 
单元 机 框 机 器 的 宽度 482.6+0.4mm 480+1mm 
机 器 的 高 度 1U (44.45) xN-0.8mm 50xN-1mm 
机 器 的 深度 没有 规定 没有 规定 
@ 一 般 EIA 属于 国际 标准 范畴 ， 而 JIS 属于 日 本 国家 标准 范畴 。 译 者 注 
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( 续 ) 


TIA/EIA-310-D ( EIA 标准 ) JIS C 6010-2 ( JIS 标准 ) 























465.1+1.6mm 465+1.5mm 




















统 一 螺 距 : 15.875mm、15.875mm、| 50mm 间隔 ( 实际 产品 中 以 25mm 
重复 长 度 12.7mm 
宽 螺 距 ; 31.75mm、 重 复 长 度 12.7mm 





















































标准 宽度 高 度 有 效 容纳 高 度 深度 
EIA 标准 600~800nm 1000~2200nm 19U~46U 600~1100nm 
高 端 铝 制 机 架 。 铝 制 外 框 ， 轻 量 量 的 高 端 19 英寸 网 络 硬件 机 染 





。 充分 支持 设备 尺寸 以 及 规格 的 多 样 化 

。 19 英寸 硬件 安装 面板 支架 与 机 架 支 柱 分 离 ， 能 够 在 一 定 范围 内 移动 后 固定 

。 可 以 在 机 架 底 部 以 及 机 架 上 部 安装 另外 销售 的 风扇 模块 ， 使 得 机 架 整 体 可 
以 强制 排 气 散 热 




























































































机 架 尺 十 19 英寸 机 架 的 硬件 安装 


沁 驯 














) 昌 





19 英寸 机 架 自 身 的 宽度 一 般 为 60~70cm。 

除了 小 型 路 由 器 或 交换 机 ， 几 乎 所 有 的 网 络 硬件 都 可 以 放 进 19 英寸 机 架 之 中 ,设备 的 高 度 
也 可 以 是 从 1U (Unit，1U=44.45mm=1.75inch ) 到 数 倍 的 U (1U、2U、3U…… ) 不 等 (一般 1U 
也 可 记 为 1RU， 表 示 Rack Unit 的 意思 )。 如 果 是 3U 以 上 的 大 型 硬件 ， 在 设备 前 部 的 左右 两 侧 ， 
还 会 配备 用 于 机 架 固定 ( Rack Mount ) 的 金属 支架 ( 称 为 bracket， 俗称 机 架 耳 )， 算 上 该 部 件 的 
后 ， 整 个 设备 的 宽度 可 以 达到 482mm。 
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金属 支架 











YD 


前 部 主 螺丝 











大 小 在 2U 以 下 的 设备 可 能 会 经 常 需要 将 金属 支架 取 下 ， 和 设备 安装 在 一 起 。 取 下 人 金属 支架 
后 ， 整 个 硬件 的 宽度 会 变 为 440mm 左右 。 

虽然 没有 具体 规定 硬件 的 深度 标准 ， 但 考虑 到 某 些 限制 高 度 的 高 端 设 备 会 在 深度 上 有 很 大 的 
扩展 ， 因 此 有 必要 事先 确认 这 类 设备 是 否 能 够 安装 到 机 架 上 。 


机 架 安装 螺 距 











































































































EIA 标 准 JIS 标 准 [单位 : mm ] 
通用 螺 距 || 宽 螺 距 2U 3U 4U 5U 
H= H= H= H= 
.7 88.1 132.6 177.0 221.5 
中 5875 3 大 | 全 
QT15.875 31.75 | 
qT12.7 yn Ei 人 9 
OFT15.875 加 
a “ 31.75 | 口 
DT15.875 DO 
27 127 4 
ot 0 
口 450.8 -| a 
E 465.1+1.6 3 区 
昌 510 图 
和 






































国 减轻 噪声 
机 架 式 网 络 硬件 的 散热 风扇 会 发 出 噪声 。 虽 然 这 类 机 架 和 设备 一 般 都 会 放 在 配 有 空调 的 机 房 
中 ， 但 有 时 也 会 有 放置 在 办 公 室 工作 区 域 的 需求 ， 因 此 需要 选择 可 以 降低 噪声 的 设备 机 架 。 
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国 散热 管理 

当 机 架 上 硬件 的 密度 增加 时 ， 热 量 也 会 大 幅 增加 ， 特 别 是 正面 有 密封 机 箱 门 的 设备 。 由 于 热 
量 有 累积 效应 ， 因 此 需要 配备 机 架 专用 的 冷却 风扇 ， 或 者 在 房间 的 顶部 、 前 部 或 后 部 安装 散热 的 
通风 口 。 


国 机 架 安装 部 件 

在 网 络 硬 件 中 会 配备 称 为 机 架 安 装 部 件 的 小 工具 套件 ， 用 于 将 设备 安装 到 19 英寸 机 架 上 。 

2U 以 内 的 硬件 一 般 只 有 前 部 安装 支架 ， 而 对 于 那些 较 深 的 硬件 则 会 配备 轨道 式 零 部 件 ( 安 
装 导轨 ， 如 图 1-49 所 示 )。 

如 果 硬 件 没有 配套 的 机 架 安 装 部 件 或 者 由 于 螺 帽 口 、 尺 寸 的 关系 无 法 在 19 英寸 机 架 上 安装 
时 ， 也 可 以 选择 购买 设备 对 应 的 金属 隔 板 (图 1-50 所 示 )， 将 设备 放 在 上 面 即 可 。 


轨道 式 机 架 安 装 部 件 





金属 隔 板 
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桌面 式 设备 可 以 使 用 如 图 1-51 所 示 的 面板 式 机 架 部 件 进行 安装 ， 面 板 部 件 需 另 外 购买 。 


区 而 下 省。 YAMAHA 机 架 安装 部 件 YRK-1500 
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本 章 将 介绍 交换 机 的 历史 、 类 型 、 功 能 和 架构 。 确 认 交 换 
机 设备 的 主要 产品 ， 并 进一步 理解 交换 容量 以 及 非 阻塞 性 
能 的 设计 方法 。 
介绍 网 络 管理 协议 SNMP 和 用 于 网 络 信息 统计 的 Netflow 













































































软件 。 
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02.01 中 继 器 和 网 桥 的 不 同 点 





数据 链 路 层 (OSI 参考 模型 ) 中 多 个 网 段 互联 的 功能 实体 称 为 桥 或 网 桥 。 通 过 网 桥 进行 的 数 
据 发 送 则 称 为 桥接 过 程 。 


02.01.01 什么 是 中 继 器 





中 继 器 (repeater ) 是 一 种 信号 增强 装置 ， 在 OSI 参考 模型 的 第 1 层 上 运行 。 第 1 层 是 物理 
层 ， 它 的 功能 仅仅 是 将 被 噪声 影响 的 信号 重新 输出 ， 不 再 进行 额外 的 数据 控制 。 由 于 物理 层 只 是 
定义 了 网 络 的 电气 、 机 械 、 规 程 、 功 能 等 标准 ， 因 此 中 继 需 无 法 辨别 数据 链 路 层 的 MAC 地 址 以 
及 网 络 层 的 卫 地 址 。 


2 思科 公司 使 用 的 中 继 器 图 标 











02.01.02 什么 是 网 桥 


通过 两 个 接口 连接 两 个 冲突 域 ”的 装置 称 为 网 桥 。 网 桥 的 作用 相当 于 OSI 模型 中 的 数据 链 路 
层 。 网 桥 的 种 类 如 表 2-1 所 示 ， 目 前 使 用 的 几乎 都 是 透明 网 桥 了 。 大 家 耳熟能详 的 交换 集线器 也 
可 以 称 为 多 端口 透明 网 桥 。 


2 到 ”思科 公司 使 用 的 网 桥 图 标 











人 由 共享 式 集线器 形成 的 网 段 称 为 冲突 域 。 
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ES)》 网 桥 的 种 类 
名 称 说 明 拓扑 结构 


源 路 由 网 桥 简称 为 SRB， 用 于 连接 令 牌 环 (IEEE 
( Source Route Bridging ) | 802.5 )。 如 果 连 接 目的 地 能 够 收 到 分 组 ， 
则 可 以 通过 全 路 径 搜索 分 组 ， 找 到 所 有 
可 达 目 的 地 的 路 径 信息 ， 并 将 该 路 由 信 
息 保存 在 内 置 表 中 ， 这 样 就 可 以 完成 类 
器 的 工作 









































































































































透明 网 桥 i 桥 在 20 世纪 80 年 代 初 期 由 DEC 
( Transparent Bridging ) 发 ， 之 后 在 IEEE 802.1 完成 标 
也 可 称 为 学 习 型 网 桥 ( learning 
) 
等 以 太 网 同 以 太 网 、FDDI 同 FDDI 
有 相同 访问 控制 方式 的 网 段 进行 
装置 称 为 透明 网 桥 。 因 此 以 太 网 
的 交换 机 在 某 种 意义 上 也 可 以 说 是 拥有 
多 个 透明 网 桥 的 设备 。 它 能 够 根据 通信 
数据 帧 的 发 送 方 地 址 ， 判 断 将 数据 发 送 
到 哪 一 网 段 哪 一 地 址 的 主机 上 ， 并 调查 
该 主机 是 否 存 在 
源 路 由 透明 网 桥 简称 为 SRT。 

( Source-route Transparent | IBM 公司 开发 的 产品 ， 将 源 路 由 网 桥 
Bridging ) ( SRB ) 与 透明 网 桥 集 成 于 同一 网 络 。 该 
装置 应 用 于 令 牌 环 网 络 















































































































































































































































转换 网 桥 将 以 太 网 与 令 牌 环 、 以 太 网 与 FDDI 等 
(Translational Bridging ) 构 网 络 在 MAC 层 子 层 的 LAN 传输 媒 
进行 桥接 的 装置 。 在 以 太 网 与 令 
环 中 也 可 以 称 为 源 路 由 转换 网 桥 











































































































封装 网 桥 车 路 由 器 内 将 使 用 不 同 传输 媒介 的 以 太 
( Encapsulation Bridging ) | 网 帧 格式 进行 桥接 的 装置 。 比 如 使 
FDDI 网络 时 ， 在 发 送 方 网 桥 中 会 将 
太 网 数据 帧 封装 成 FDDI 数据 帧 。 而 在 
接收 方 网 桥 中 ， 会 从 FDDI 数据 帧 
封 以 太 网 数据 然后 帧 ， 再 发 送 到 
机 上 
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02.01.03 共享 式 集 线 器 


集 线 需 ( hub ) 是 指 集中 器 设备 ( concentrator )。 带 有 中 继 需 功能 的 集线器 也 可 以 称 为 共享 式 
集线器 、 多 端口 中 继 器 、 中 继 集线器 等 。 在 网 络 术 语 中 ， 集 线 器 一 般 是 指 共 享 式 集线器 ， 但 目前 
市 场 上 销售 的 集线器 产品 一 般 都 是 指 交 换 式 集 线 硕 。 

集 线 带 中 连接 线 绕 RJ-45 模块 接口 的 部 分 称 为 端口 ， 根 据 集线器 大 小 的 不 同 ， 端 口 可 以 分 为 
4、8、12、16、24 等 多 种 类 型 。 集 线 右 一 般 可 以 独立 配置 使 用 ， 因 此 形态 多 样 。 有 的 产品 可 以 
插 到 个 人 计算 机 中 (电源 由 个 人 计算 机 提供 )， 有 的 产品 可 以 安装 到 机 架 上 ， 还 有 的 产品 可 以 堆 
蕉 ( stackable ) 在 一 起 工作 ， 只 是 目前 这 些 产品 在 市 场 上 已 不 多 见 。 


思科 公司 使 用 的 共享 式 集线器 图 标 


















































在 最 初 的 以 太 网 (IEEE 802.3 ) 标准 10BASE5 中 ,采用 了 如 图 2-4 所 示 的 粗 同 轴 电缆 (黄色 
线 缆 ) 作为 传输 媒介 ， 通 过 在 接口 处 插入 连接 着 各 终端 的 转换 器 ， 形 成 一 个 总 线 型 的 拓扑 结构 ， 
在 一 根 线 缆 上 共享 10Mbits 的 带宽 。 

自从 使 用 双 绞 线 ( 以 太 网 线 缆 ) 的 以 太 网 标准 10BASE-T 颁布 之 后 ， 各 终端 与 共享 式 集线器 
之 间 都 开始 使 用 单独 的 接口 进行 连接 ， 这 样 就 形成 了 一 个 星星 的 拓扑 结构 ， 但 是 同样 能 够 形成 一 
个 与 10BASE5 相同 的 共享 带宽 的 LAN 网 段 。 

在 共享 带宽 的 情况 下 ， 网 络 的 每 一 个 终端 能 否 发 送 数据 将 采用 CSMA/CD ( Carrier Sense 
Mnultiple Access/Collision Detection ) 方式 来 决定 。 这 个 决定 方式 首先 判断 的 是 在 通信 和 链 路 上 有 没 
有 其 他 终端 节点 在 发 送 数 据 ， 也 就 是 通过 载波 侦 听 来 明确 通信 和 链 路 是 否 正在 使 用 。 如 果 通 信和 链 路 
空 闪 ， 则 开始 发 送 数 据 。 如 果 发 现 通 信和 链 路 正在 使 用 ， 则 需要 继续 等 待 ， 因 此 通信 效率 很 低 。 其 
至 还 会 出 现 多 个 网 络 终端 节点 同时 发 送 数 据 从 而 产生 冲突 ( collision ) 的 情况 。 整 个 网 络 中 共享 
网 络 终端 的 数量 越 多 ， 发 生 冲突 的 概率 也 会 增加 。 
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10BASE5 的 结构 
粗 同 轴 电 缆 转换 器 网 络 终端 




















| 最 长 500m ( 直到 100 个 节点 ) 


使 用 10BASE5 的 转换 器 进行 连接 
个 人 计算 机 





02.01.04 ”交换 式 集线器 


交换 式 集 线 器 ”是 指 将 连接 着 两 台 通信 终端 的 两 个 端口 在 装置 内 部 绑 定 ， 使 其 他 端口 的 信和 号 
无 法 介入 , 从 而 防止 发 生 冲 突 , 弥补 了 共享 式 集线器 的 不 足 。 一 般 人 们 所 说 的 交换 机 “或 L2 交换 
机 均 指 拥有 多 个 透明 网 桥 的 装置 。 





中 根据 上 下 文 ， 这 里 的 交换 式 集线器 为 实际 意义 上 的 交换 机 。 一 一 译 者 注 
回 ”以 下 交换 机 均 指 以 太 网 交换 机 ， 读 者 不 要 和 程控 电话 网 络 交 换 机 或 光线 交换 机 混淆 。 一 一 译 者 注 
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在 共享 式 集线器 中 ， 从 发 送 方 接收 到 的 数据 会 直接 转发 到 所 有 非 发 送 方 端口 ， 也 就 是 单纯 地 
通过 复制 电气 信号 来 实现 发 送 。 

但 是 交换 式 集 线 顺 则 通过 学 习 连 接 的 每 个 网 络 终端 的 MAC 地 址 ， 将 数据 仅 发 送 到 发 送 方 所 
期 望 的 目的 终端 上 去 ， 避 免 了 将 数据 发 送 到 无 关 端 口 ， 从 而 提高 了 网 络 利用 率 。 

如 果 在 学 习 MAC 地 址 前 遇 到 发 送 目的 地 不 明 ， 或 者 想 与 网 段 内 所 有 终端 进行 通信 的 情况 
时 ， 交 换 式 集 线 器 将 采用 “广播 ”方式 ， 像 共享 式 集线器 那样 ， 将 数据 帧 转发 到 所 有 非 发 送 方 
端口 。 











县 申 思科 公司 使 用 的 交换 机 图 标 





02.01.05 学 习 MAC 地 址 
交换 机 通过 确认 以 太 网 数据 帧 的 发 送 源 MAC 地 址 ， 习 得 交换 机 端口 号 和 该 端口 所 连 硬件 
MAC 地 址 的 配对 信息 ， 并 将 该 信息 记录 到 其 内 部 的 MAC 地址 表 中 (图 2-7 )。 
学 习 MAC 地 址 


可 中 
Oasis 






























































00:1a:23:33:11:11 00:1a:23:33:11:22 00:1a:23:33:11:33 00:1a:23:33:11:44 


@ 当主 机 A 与 主机 DD 通信 时 ， 主 机 A 先 发 送 MAC 数据 帧 ， 该 数据 帧 中 包含 发 送 源 主 机 A 的 MAC 地 址 和 发 送 
目的 主机 D 的 MAC 地址。 交换 机 从 端口 1 处 接收 到 发 送 源 MAC 地 址 为 00:1a:23:33:11:11 的 数据 帧 后 ， 得 到 了 
“端口 1 上 插 着 的 MAC 地 址 为 00:1a:23:33:11:11” 的 信息 ， 从 而 习 得 主机 A 的 MAC 地 址 。 随 后， 交换 机 将 习 得 

主机 A 的 MAC 地 址 注册 到 内 部 的 MAC 地 址 表 中 。 

@ 这 时 ， 交 换 机 尚 不 知道 发 送 目的 主机 的 MAC 地 址 00:1a:23:33:11:44 位 于 何 处 ， 因 此 会 将 该 数据 帧 转发 到 除 端 口 1 
之 外 的 所 有 端口 上 去 。 交 换 机 的 这 一 行为 称 作 flooding。 
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端口 1 
(OB Ee ee ed 
端口 4 
(OO :A HE 4 





















































00:1a:23:33:11:11 00:1a:23:33:11:22 00:1a:23:33:11:33 00:1a:23:33:11:44 











和 这 时 ,主机 B 和 主机 C 虽然 收 到 了 目的 地 MAC 地 址 为 00:1a:23:33:11:44 的 数据 帧 ， 但 由 于 自身 并 非 该 目的 地 址 ， 
便 丢 弃 该 帧 ， 只 有 主机 D 会 接收 该 数据 帧 。 

@ 主机 DD 会 向 主机 A 发 送 应 答 数据 帧 ， 应 答 数据 帧 中 包括 了 发 送 源 的 MAC 地 址 00:1a:23:33:11:44。 这 时 ， 交 换 机 

便 可 得 知 端口 4 上 连 着 MAC 地 址 为 00:1a:23:33:11:44 的 设备 ， 并 将 该 信息 记录 到 内 部 的 MAC 地 址 表 中 。 

@ 至 此 ， 交 换 机 习 得 了 主机 A 和 主机 DD 的 MAC 地 址 信息 ， 随 后 的 通信 也 不 会 再 有 flooding。 对 于 交换 机 而 言 ， 同 

样 也 可 以 从 和 主机 B、 主 机 C 之 间 的 通信 习 得 它们 的 MAC 地 址 。 
















































































如 果 MAC 地 址 表 的 记录 项 (包含 端口 号 和 MAC 地 址 的 配对 信息 ) 一 直 保留 ， 当 连接 端口 的 
设备 发 生变 化 时 ， 就 会 出 现实 际 情况 和 表 项 无 法 对 应 的 情况 。 因 此 需要 给 MAC 地 址 表 的 记录 
项 设置 一 个 超时 值 ， 该 项 超时 值 也 可 以 称 为 MAC 地 址 的 老化 时 间 (aging time )。 在 思科 公司 的 
Catalyst 交换 机 中 该 项 数值 默认 为 $ 分 钟 ， 并 且 可 以 通过 配置 进行 更 改 。 交 换 机 设备 会 根据 该 值 对 
习 得 的 MAC 地 址 表 中 的 纪录 项 进行 老化 消去 (aging ) 操作 ， 被 消去 的 纪录 项 会 显示 为 aging out。 

管理 员 还 能 通过 使 用 命令 行 静 态 地 对 MAC 地 址 表 中 添加 表 项 ， 这 时 交换 机 的 老化 消去 将 会 
失效 。 





02.01.06 ”使 用 交换 机 的 优点 
用 户 从 集线器 ( 共享 式 集 线 需 ) 向 交换 机 (交换 式 集 线 需 ) 迁移 ， 会 有 表 2-2 所 示 的 优点 。 


使 用 交换 机 的 优点 
说 明 
冲突 域 固 ) 在 主机 ( 个 人 计算 机 等 ) 直 接连 接 到 交换 机 时 ， 冲 突 域 只 会 在 交换 机 端口 和 主机 之 间 形 成 。 





































































































彻底 的 全 双 工 通信 | 冲突 域 中 不 存在 机 ， 使 主机 能 够 同时 完成 发 送 和 接收 工作 。 












































阻 断 错误 数据 帧 ”| 存储 转发 型 ( 02.03 节 ) 交 换 机 能 够 检查 接收 到 的 数据 帧 是 否 有 错误 ， 并 及 时 丢弃 有 错误 的 数据 帧 。 
独 享 带宽 发 送 和 接收 工作 在 两 个 交换 机 端口 之 间 分 别 进行 ， 使 每 个 端口 的 带宽 都 可 以 有 效 利用 。 
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02.02 ”交换 机 是 如 何 诞生 的 


02.02.01 以太 网 的 历史 


1973 年 5 月， 美国 施乐 公司 的 罗伯特 。 梅 特 卡 夫 (Robert M. Metcalfe ) 博士 开发 了 以 太 网 
( Ethernet 站。 该 词 来 自 于 19 世纪 人 们 假想 的 一 种 能 够 传播 电磁 波 和 光 的 物质 以 太 ( ether ) 以 及 网 
络 (network ) 两 个 名 字 的 组 合 。 

梅 特 卡 夫 博 士 是 最 早 开 发 出 个 人 计算 机 的 PARC2 ( Palo Alto Research Center， 帕 罗 奥 多 研究 
中 心 ) 的 研究 员 。 当 时 的 施乐 公司 正在 开发 世界 上 最 早 的 激光 打印 机 ， 打 算 将 该 研究 中 心 内 所 有 
的 计算 机 都 连接 到 打印 机 上 ， 因 此 将 网 络 系统 的 架构 工作 交 给 了 梅 特 卡 夫 博 士 。 

控制 当时 最 先进 的 高 速 激 光 打 印 机 需要 有 足够 快 的 网 速 做 保障 ， 而 有 旦 还 要 在 同一 幢 大 楼 内 连 
接 上 百 台 计算 机 ， 这 就 需要 梅 特 卡 夫 博 士 设计 出 前 所 未 有 的 网 络 架 构 。 最 终 ， 梅 特 卡 夫 在 该 网 络 
中 使 用 的 是 CSMA ( Carrier Sense Multiple Access， 载 波 侦 听 多 路 访问 ) 技术 。 

梅 特 卡 夫 博 士 曾经 参与 过 美国 国防 部 高 级 研究 计划 署 的 阿 由 网 (ARPANET ) 和 夏威夷 大 学 
的 ALOHA 网 的 设计 工作 。ALOHA 网 采用 了 无 线 通信 技术 ， 用 于 满足 夏威夷 群岛 间 的 通信 需 
求 ， 与 现在 的 LAN 通信 类 似 ， 也 采用 了 CSMA 技术 。 

为 了 让 使 用 相同 通信 线路 连接 的 多 台 计 算 机 设备 能 够 自由 地 发 送 数据 ，CSMA 技术 中 设计 了 
当 遇 到 通信 冲突 时 ， 能 够 检测 该 冲突 并 再 次 发 送 的 机 制 。ALOHA 网 使 用 了 无 线 电磁 波 作为 通信 
的 传输 媒介 ， 而 以 太 网 则 采用 了 更 为 高 速 的 同 轴 电 缆 作 为 传输 媒介 ， 并 配 以 用 来 完成 高 速 通信 的 
网 络 接口 。 

1976 年 ， 当 以 太 网 产品 最 终 完成 时 ， 其 传输 速率 为 2.94Mbit/s， 使 用 了 1km 的 线 缆 将 100 台 
以 上 的 终端 进行 互联 。 另 外 ， 使 用 光纤 作为 传输 媒介 、 速 率 达到 150Mbit/s 的 高 速 通信 等 以 太 网 
技术 也 通过 不 断 实 验 逐 步 完善 。 

在 此 之 后 ，DEC 公司 、Intel 公司 以 及 施乐 公司 在 1979 年 共同 制定 了 当时 最 为 经 济 实惠 的 、 传 
输 速率 为 10Mbit/s 的 DIX 以 太 网 标准 (DIX 是 DEC、Intel、Xerox 的 首 字母 的 组 合 )。 这 项 DIX 











































































































@ 当时 ， 梅 特 卡 夫 博 士 给 他 的 老板 写 了 一 篇 关于 以 太 网 潜力 的 备忘录 。 此 时 以 太 网 尚 处 于 实验 的 初步 阶段 ， 尚 无 成 型 的 
产品 。 译 者 注 

@， 该 机 构 为 IT 史上 最 著名 的 研究 室 之 一 ， 研 究 成 果 众多 ， 据 称 “ 美 国 最 优秀 的 100 位 电脑 科学 家 里 ， 有 76 位 在 帕克 工 
作 过 ”， 只 可 惜 众多 技术 没 能 被 其 母 公司 施乐 公司 转化 为 市 场 成 果 。 译 者 注 

@ ALOHA 网 计划 始 于 1968 年 ， 早 于 20 世纪 70 年代 的 1G 移动 通信 技术 和 20 世纪 80 年 代 的 2G 通信 技术 ， 堪 称 现代 
最 早 的 计算 机 无 线 通 信 网 络 。 一 一 译 者 注 
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标准 的 标准 化 文件 “Ethernet 标准 1.0” 在 1982 年 召开 的 了 EEE 802 委员 会 会 议 上 正式 发 布 “。 
目前 ， 广泛 普及 的 以 太 网 标准 是 基于 此 后 的 “Ethernet 标准 2.0” 确 定 的 (同样 于 1982 年 由 
IEEE 发 布 )， 而 CSMA/CD 则 在 1983 年 的 下 EE802.3 中 完成 了 标准 化 。 
随后 ， 从 传输 速度 为 10Mbit/s 开始 ， 不 断 出 现 了 100Mbitfs、1Gbit/s 、10Gpbs 等 速度 更 快 的 
以 太 网 标准 ， 以 及 使 用 双 绞 线 、 光 纤 作 为 传输 媒介 的 以 太 网 标准 ， 如 今 ， 标 准 的 更 新 仍然 是 日 新 


已 @ 
FE 


02.02.02 世界 上 最 早 的 交换 机 


在 20 世纪 80 年 代 ， 很 多 企业 开始 察觉 到 使 用 共享 式 集线器 构成 的 LAN 性 能 很 差 ， 便 逐步 
开始 使 用 能 够 分 割 冲突 域 的 以 太 网 网 桥 设备 。 


世界 上 最 早 的 EtherSwitch 








1990 年 ，Kalpana 公司 “发 售 了 世界 上 首 台 交 换 机 产品 EtherSwitch (图 2-8 )。 在 此 之 前 ， 普 
通 存 储 转发 型 的 网 桥 装 置 只 有 两 个 端口 ， 而 EtherSwitch 拥有 7 个 端口 。 在 此 之 后 ， 拥 有 多 个 端 
口 的 以 太 网 交换 机 这 个 概念 开始 被 人 们 接受 。 由 于 当时 的 EtherSwitch 没有 实现 IEEE 规定 的 相 
关 标 准 ， 不 能 称 之 为 网 桥 ， 所 以 使 用 了 交换 机 ( Switch ) 一 词 。 

Kalpana 随后 还 开发 了 EtherChannel 产品 ， 于 1994 年 被 思科 公司 收购 。 

20 世纪 90 年 代 ， 随 着 IC 技术 的 蓬勃 发 展 ， 网 桥 制 造 商 开始 将 运行 于 CPU 的 L2 传输 控制 
从 软件 程序 逐步 移 到 ASIC 和 FPGA 上 。 这 类 技术 使 网 桥 内 部 分 组 处 理 的 通信 时 延 (latency ) 降 
到 了 10 微妙 左右 ， 而 且 可 以 在 性 能 无 损 的 前 提 下 桥接 多 个 端口 。 这 时 ， 以 太 网 交换 机 开始 作为 
网 络 技术 术语 逐步 推广 开 来 。 














四， 这 表明 DIX 标准 不 再 是 原来 的 企业 联盟 标准 ， 而 是 正式 成 为 了 IEEE 标准 。 译 者 注 
@ 2013 年 4 月 ，400Gbits 以 太 网 技术 的 会 议 正 式 召 开 ， 可 以 预见 ， 不 久 的 将 来 就 会 出 现 该 速率 的 以 太 网 。 
@) ”该 公司 创始 人 中 有 一 位 是 印度 毅 ， 公 司 同样 在 IT 圣地 硅谷 成 立 。 译 者 注 








译 者 注 
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交换 机 的 历史 信息 汇总 ” 






















































































































































































































































































年 代 事件 标准 化 概述 
1968 | ALOHA 网 在 夏威夷 启动 
1970 | 阿 帕 网 启 刀 
1972 | ALOHA 网 开始 架构 建设 
1973 | 罗伯特 梅 尔 卡特 博士 命名 的 Ethernet 一 词 正 式 出 现 
1980 | DIX 以 太 网 发 布 IEEE 成 立 了 Project 802 工作 组 ， 旨 在 促进 LAN 标准 化 
1981 TCP/IP 标准 化 
1983 IEEE802.3 ( 10BASE5 ) 
1987 | SynOptics “公司 发 售 10BASE-T 的 原型 产品 LattisNet 
1988 | CERN 开发 WWW IEEE 802.3a ( 10BASE2 ) 

美国 Ungermann-Bass 公司 ”发售 世界 上 第 一 台 机 框 

式 集 线 器 Access/One 
1990 | Kalpana 公司 发 布 世界 上 第 一 台 以 太 网 交换 机 EtherSwitch | IEEE 802.3i ( 10BASE-T ) 
1993 | 思科 公司 收购 Crescendo 通信 公司 ， 产 品 线 整合 为 思 

科 的 Catalyst 5000 系列 
1994 | Bay Networks 公司 发 售 搭载 VLAN 功能 的 以 太 网 交 

换 机 产品 

思科 公司 收购 Kalpana 公司 ， 产 品 线 整合 为 思科 的 

Catalyst 3000 系列 
1995 | 思科 公司 收购 Grand Junction Networks 公司 ， 产 品 

线 整 合 为 思科 的 Catalyst 1900/2800 系列 
1996 | Foundry Networks 公司 创立 

Extreme Networks 公司 创立 
1997 | L3 交换 机 研发 成 功 
1998 IEEE 802.3z ( 1000BASE-X ) 
1999 | 思科 公司 发 售 Catalyst 6500 系列 产品 IEEE 802.3ab ( 1000BASE-T ) 
2003 IEEE 802.3ae ( 10GBASE-SR 等 ) 

IEEE802.3af ( Power over Ethernet ) 
2004 立 电线 公司 发 售 以 太 网 交换 机 产品 Apresia 
立 制作 所 和 日 本 电气 合资 的 ALAXALA Networks 公 

司 成 立 ， 发 售 主干 交换 机 产品 AX 系列 

2006 IEEE 802.3an ( 10GBASE-T ) 
QD 该 表 没 有 列 出 全 部 业内 有 名 的 交换 机 产品 ， 包 括 中 国 的 华为 、 中 兴 以 及 法 国 阿 尔 卡特 、 瑞 典 爱 立信 、 加 拿 大 北 电 等 公 


司 的 产品 。 
该 公司 创始 人 同样 出 身 于 PARC， 之 后 转战 多 家 最 终 任职 于 现在 的 亚 美 亚 公 司 ( Avaya )。 
即 欧洲 原子 能 中 心 。 
该 公司 同样 几经 转手 后 ， 最 终 属于 阿尔 卡特 朗讯 公司 。 


外 四 提 





译 者 注 





译 者 注 








译 者 注 


译 者 注 
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事件 
博 科 通信 系统 公司 ( Brocade Communications Systems ) 





收购 Foundry Networks 公司 ，Juniper 公司 发 售 以 太 
网 交换 机 “EX 系列 ” 











IEEE 802.3ba ( 40G/100G 以 太 网 ) 





02.03 ”交换 机 中 使 用 的 数据 帧 及 其 传输 方式 


02.03.01 以 太 网 数据 帧 的 种 类 


交换 机 中 使 用 的 以 太 网 数据 帧 类 型 如 表 2-4 所 示 。 
以 太 网 使 用 的 数据 帧 类 型 

















































































































名 称 说 明 
单 播 数据 帧 ( Unicast frame ) 发 送 目的 地 地 址 为 广播 或 多 播 以 外 的 数据 帧 
广播 数据 帧 ( Broadcast frame ) 发 送 目的 地 为 广播 地 址 ( FF:FF:FF:FF:FF:FF ) 的 数据 帧 
多 播 数据 帧 ( Multicast frame ) 发 送 目的 地 为 多 播 地 址 的 数据 帧 。 具 有 代表 性 的 多 播 地 址 为 01-00-5E-xx-xx- 
xx ( 其 中 x 为 任意 数字 ) 
不 完全 帧 ( Runt frame ) 包含 首部 信息 、 长 度 为 63 字 节 以 下 的 数据 帧 。 交 换 机 将 这 类 数据 帧 识别 为 
冲突 等 原因 而 形成 的 坏 帧 





























xs 





\ 巨 人 帧 ( Baby Giant frame ) 比 通常 MTU 规定 的 1518 字 节 稍 大 的 数据 帧 ， 在 IEEE802.11Q 的 TRUNK 中 
是 指 1522 字 节 的 数据 帧 





十 





























巨型 帧 ( Jumbo frame 或 Giant frame ) | 比 通常 MTU 规定 的 1518 字 节 大 很 多 的 数据 帧 








02.03.02 ”交换 机 数据 帧 的 传输 方式 











交换 机 从 接收 以 太 网 数据 帧 到 发 送 新 的 以 太 网 数据 帧 ， 这 之 间 会 有 三 种 处 理 方法 ， 即 直通 转 
发 (cut through )、 碎 片 隔离 ( fragment free ) 和 存储 转发 ( stored-forward )。 

交换 机 产品 出 现在 市 场 之 前 ， 业 内 主要 流行 的 是 一 种 使 用 软件 处 理 存 储 转发 的 网 桥 装 置 。 由 
于 处 理 时 间 和 通信 时 延 太 长 ， 于 是 又 引入 了 直通 转发 的 处 理 方式 。 直 通 转发 处 理 虽 然 时 延 很 短 ， 
但 是 也 有 无 法 丢弃 错误 帧 的 缺点 。 当 前 主流 的 交换 机 都 使 用 了 ASIC 和 FPGA 等 基于 硬件 的 高 速 
处 理 数据 帧 ， 因 此 存储 转发 的 处 理 方式 越 来 越 多 。 
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直通 转发 

在 直通 转发 交换 技术 中 ， 交 换 设备 只 需 读 取 数 据 帧 最 初 的 14 个 字 节 (图 2-9 ) 即 可 将 数据 帧 
发 送 至 目的 地 。 数 据 帧 按照 接收 顺序 依次 发 送 ， 属 于 先进 先 出 ( FIFO，First In、First Out ) 方式 。 
在 10Mbit/s 以 太 网 中 约 有 25 微 秒 的 通信 时 延 ， 而 在 快速 以 太 网 中 通信 时 延 只 有 7 微 秒 。 尽 管 该 
方式 采用 最 小 的 时 延 来 转发 数据 帧 ， 但 由 于 读 取 的 数据 量 固定 ， 通 信 的 发 送 方 与 接收 方 不 得 不 采 
用 一 致 的 速度 来 完成 数据 帧 的 发 送 与 接收 。 这 会 导致 无 法 将 普通 以 太 网 桥接 到 不 同 速率 的 快速 以 
太 网 。 男 外 由 于 接收 方 在 收 到 数据 帧 后 ， 仅 读 取 前 面 的 14 个 字 节 之 后 就 立刻 通过 通信 端口 发 送 
了 ， 因 此 跳 过 了 读 取 以 太 网 数据 帧 尾部 (最 后 的 4 个 字 节 ) 的 FCS 域 ， 从 而 无 法 检测 并 及 时 丢弃 
发 生 CRC 校 验 错误 的 数据 帧 。 不 过 虽然 无 法 立刻 丢弃 ， 但 是 当 最 后 读 取 到 某 数据 帧 的 FCS 域 并 
检测 出 错误 后 ， 还 是 可 以 更 新 错误 帧 计数 需 的 。 
直通 转发 中 数据 帧 的 读 取 位 置 


读 取 到 这 里 为 止 一 



















































































的 地 ”| 发 送 源 
Eo 


8 字 节 46~1500 字 节 














虽然 直通 转发 交换 当前 几乎 很 少 使 用 ,但 对 于 那些 在 通信 和 量 明确 可 计 的 网 络 中 使 用 ， 每 个 用 
户 都 分 配 端口 通信 的 交换 机 来 说 ， 还 是 非常 推荐 使 用 的 。 这 种 情况 时 ， 直 通 转发 也 可 以 同 后 文 会 
提 到 的 自 适 应 交换 一 同 用 用 。 

有 时 ， 直 通 转发 还 可 以 和 碎片 陋 离 交换 结合 使 用 ， 这 时 ， 仅 读 取 数 据 帧 前 14 个 字 节 的 方式 
称 为 快速 转发 ( Fast-forward ) 方式 。 























看 碎片 隔离 

该 方式 也 称 为 修正 版 的 直通 转发 ( Modified Cut-through )。 

碎片 隔离 (Fragment-free ) 交换 方式 如 图 2-10 所 示 ， 首 先 会 读 取 数据 帧 的 前 64 个 字 节 ， 这 
就 防止 了 冲突 时 转发 残 帧 (runt， 也 叫做 冲突 碎片 ， 指 因为 发 生 碰撞 而 出 现 的 小 于 63 字 节 的 废弃 
帧 ) 的 情况 。 在 IEEE 802.3 中 将 发 送 512bit 数据 所 需 的 时 间 称 为 一 个 时 隙 (slot time， 传 输 速 率 
为 10Mbit/s 时 ， 时 际 为 51.2 微 秒 )， 每 个 时 际 都 可 以 发 送 数据 ， 即 将 数据 所 代表 的 电气 信号 发 送 
至 通信 对 方 的 主机 上 。 每 发 送 512bit 的 数据 ( 64 个 字 节 ) 后 ， 如 果 没 有 冲突 就 表明 该 数据 帧 能 够 
准确 无 误 地 到 达 对 方 主机 上 。 接 收 方 在 收 到 数据 帧 后 ， 确 认 前 64 个 字 节 ， 即 可 知道 转发 过 程 中 
没有 发 生 冲 突 。 














图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 























02.03 ”交换 机 中 使 用 的 数据 帧 及 其 传输 方式 “| 73 

















碎片 隔离 交换 中 数据 帧 的 读 取 位 置 


Preamble 的 地 发 送 源 
AC 地 址 MAC 地 址 
6 字 节 


6 字 节 2 字 节 46~1500 字 节 4 字 节 


















































8 字 节 





在 以 太 网 中 发 生 的 通信 错误 大 多 由 于 冲突 导致 ， 因 此 碎片 隔离 确实 能 够 回避 大 部 分 错误 。 但 
该 方式 并 不 读 取 64bit 以 上 的 内 容 ， 这 使 得 当 数据 帧 出 现 CRC 错误 时 ， 只 能 按照 和 直通 转发 一 样 
的 方式 处 理 数据 帧 。 

采用 碎片 隔离 方式 在 10Mbit/s 的 以 太 网 中 约 有 70 微 秒 的 通信 时 延 ， 在 快速 以 太 网 中 的 通信 
时 延 为 9 微 秒 。 

与 直通 转发 一 样 ， 碎 片 隔离 采用 先进 先 出 的 方式 处 理 数据 帧 ， 通 信 速 率 不 同 的 以 大 网 网 段 之 
间 无 法 进行 桥接 ， 目 前 也 几乎 不 再 使 用 。 

































































国 存储 转发 
在 存储 转发 方式 中 ， 设 备 会 在 读 取 数 据 帧 所 有 内 容 后 再 进行 转发 。 这 样 一 来 ， 该 方式 就 能 识 
别 出 残 帧 和 CRC 校 验 错误 帧 ， 并 将 它们 及 时 丢弃 。 另 外 ， 设 备 还 能 对 所 有 的 数据 帧 进行 缓存 操 

















作 ， 因 此 使 用 该 方式 还 能 够 完成 不 同 速率 以 太 网 段 的 桥接 工作 。 

该 方式 的 通信 时 延 与 接收 的 数据 帧 尺寸 有 密切 关系 ， 需 要 另外 加 上 从 65 微 秒 到 1.3 毫秒 之 
间 不 等 的 通信 时 间 。 采 用 存储 转发 的 方式 在 10Mbit/s 以 太 网 中 的 通信 时 延 大 约 是 7 微 秒 ， 而 快速 
以 太 网 中 大 约 是 3 微 秒 。 

表 2-5 中 总 结 了 各 数据 帧 交换 方式 。 
交换 机 中 数据 帧 的 交换 方式 比较 
转发 前 读 取 的 字 节 数 通信 时 延 丢弃 错误 数据 由 
























































02.03.03 自 适 应 交换 


根据 用 户 的 设置 ， 当 残 帧 和 CRC 错误 帧 的 数量 超过 一 定 阔 值 时 ， 能 够 自动 变更 为 其 他 传输 
数 方式 的 方式 ， 叫 做 自 适应 交换 或 自 适 应 直通 转发 (adaptive switching )。 
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使 用 该 方式 时 ， 通 常 采用 直通 转发 传输 数据 帧 。 随 着 错误 数 不 断 累 加 ， 设 备 将 自动 切换 为 存 
储 转发 传输 数据 帧 。 传 输 方式 改变 ,错误 帧 的 数量 也 减少 后 ， 则 再 度 切 换 回 直通 转发 方式 。 自 适 
应 变换 这 些 动作 的 目的 是 将 传输 的 错误 帧 数量 以 及 通信 时 延 降 到 最 低 。 






































02.04 ”全 双 工 和 半 双 工 


网 络 通信 方式 的 种 类 如 表 2-6 所 示 。 
通信 的 种 类 

























































































通信 的 种 类 说 明 
单 工 通 信 ( Simplex ) 类 似 于 电视 、 广 播 中 电磁 波 信 号 的 传输 ， 一 般 为 固定 发 送 方 ( 电视 台 、 广 播 站 ) 与 固 
定 接收 方 ( 接收 天 线 ) 之 间 的 通信 方式 ， 也 称 为 单 向 通信 
双 工 通信 ( Duplex ) 通信 的 过 程 中 没有 明确 的 发 送 方 与 接收 方 ， 双 方 能 够 互 换 角色 的 通信 方式 
。 半 双 工 通信 ( Half-duplex ) | 类 似 于 无 线 对 讲 机 的 通信 方式 ， 通 信 的 一 方 在 说 话 时 ( 信号 发 送 时 )， 另 一 方 不 能 说 话 

































































。 全 双 工 通信 ( Full-duplex ) | 类 似 于 电话 的 通信 方式 ， 通 信 的 一 方正 在 说 话 ， 另 一 方 也 可 以 说 话 

















早期 的 以 太 网 (10BASES5 以 及 10BASE2 ) 采用 1 根 同 轴 电 缆 连 接 通信 双方 ， 使 用 CSMA/CD 
的 技术 进行 半 双 工 通信 ， 但 有 时 会 发 生 冲 突 。 在 10BASE-T 标准 中 ,使 用 了 UTP 中 不 同 的 绞 线 
对 来 发 送 与 接收 ， 这 使 得 进行 全 双 工 通信 变 为 可 能 。 
目前 ， 几 乎 所 有 的 交换 机 均 配 备 了 10/100BASE-TX 和 10/100/1000BASE-T 标准 的 接口 ， 也 
就 是 说 ， 这 些 交 换 机 不 仅 可 以 进行 全 双 工 通信 ， 而 且 还 支持 自 适应 功能 。 只 需 将 交换 机 的 双 工 通 
信 设 置 项 设 定 为 auto， 即 可 在 工作 中 通过 自 适应 方式 自动 选择 最 佳 的 通信 种 类 。 双 工 通信 设置 项 
是 设置 交换 机 通信 方式 的 选项 ， 可 以 设置 为 半 双 工 通信 (half)、 全 双 工 通信 (full ) 和 自动 检测 
(auto ) 中 任意 一 种 方式 。 
新 交换 机 在 与 只 支持 半 双 工 通 信 的 共享 式 集线器 和 早期 交换 机 进行 连接 时 ， 需 要 将 网 络 
接口 上 的 双 工 通信 设置 项 设置 为 half， 即 采用 半 双 工 通信 。 而 如 果 设 备 出 现 自身 支持 全 双 工 通 
信 ， 但 自 适 应 功能 无 法 正常 工作 的 情况 ， 也 同样 需要 再 次 将 网 络 接 口上 的 双 工 通信 设置 项 设置 
为 full 才 行 。 图 2-11 展示 了 一 种 能 够 在 设备 前 方 的 LED 显示 上 确认 正在 采用 何 种 双 工 方式 的 交 
换 机 产品 。 
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LED 的 显示 会 根据 通信 速率 发 生变 化 的 交换 机 示例 ( Buffalo 公司 的 LSW3-GT-NSR 交换 机 ) 





LED 级 别 
LINK/ACT ( 绿色 ) ink/Active 指示 灯 ， 用 来 表示 端口 的 | 绿灯 亮 : 建立 连接 















































连接 状态 和 收发 状态 绿 娄 内 糙 : 收发 数据 
灯 灭 : 没有 建立 连接 
10/100/1000M ( 绿色 / 检 色 ) 速率 指示 灯 ， 表 示 数 据 传输 速率 绿灯 亮 : 速率 为 1000M 
橙色 灯亮 : 速率 为 100M 
灯 灭 : 速率 为 10M 
Loop 检测 环 路 检测 指示 灯 ， 用 来 通知 检测 环 路 “| 灯 闪 烁 : 检测 环 路 中 




































































交换 机 之 间或 交换 机 与 主机 之 间 会 出 现 应 答 延 迟 或 知 吐 率 低 下 的 情况 ， 这 有 可 能 是 通信 双方 
的 端口 速率 或 双 工 方式 不 一 致 造成 的 。 比 如 ,通信 的 一 方 将 双 工 通信 设置 项 设置 成 了 auto， 而 另 
一 方 却 设置 成 了 其 他 选项 。 在 遇 到 这 类 情况 时 ， 观 察 网 络 接口 的 统计 信息 ， 会 发 现 残 帧 数量 或 
IO 错误 数量 明显 上 升 。 











MDI-X 


个 人 计算 机 和 路 由 需 的 接口 称 为 MDI (Media Dependent Interface， 媒 介 相 关 接 口 )， 交 换 
机 和 集线器 上 的 接口 则 称 为 MDIX ( Media Dependent Interface Crossover， 交 义 媒 介 相 关 接 口 )。 
MDI 与 MDI-X 接口 连接 时 ， 需 要 使 用 直通 线 缆 。MDI 之 间 相 互 连 接 或 MDI-X 之 间 相 互 连 接 时 
则 需要 使 用 交叉 线 缆 。 

目前 使 用 的 交换 机 或 集线器 均 带 有 自动 识别 MDI 与 MDI-X， 并 切换 不 同 电气 信号 的 功能 ， 
该 功能 称 为 Auto-MDIX ( Automatic Medium-Dependent Interface Crossover， 自 适应 网 线 类 型 ) 
功能 。 

多 数 个 人 计算 机 的 网 络 接口 也 搭载 了 Auto-MDIX 功能 。 这 就 使 得 在 通信 的 两 台 计 算 机 之 
， 只 需 一 方 搭载 该 功能 或 两 方 的 网 络 接口 均 搭 载 该 功能 ， 即 可 任意 使 用 直 连 线 缆 或 交叉 线 缆 

行 连接 "。 















































中 这 也 是 当前 工程 上 使 用 反 跳 网 线 在 两 台 计 算 机 之 间 进 行 互联 的 原理 。 译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 





76 | 第 2 章 彻底 理解 L2 交换 机 


思科 公司 的 Catalyst 交换 机 面板 标签 














如 图 2-12 所 示 ， 思 科 公 司 Catalyst 交换 机 的 端口 在 网 络 接口 编号 标签 上 标记 了 X 记号 ， 这 
就 表示 该 网 络 接口 的 类 型 为 MDI-X。 但 由 于 Catalyst 交换 机 本 身 也 搭载 了 Auto-MDIX 功能 ， 
而 且 该 功能 为 缺 省 设置 ， 因 此 这 一 标记 并 没有 什么 实际 意义 。 由 于 现在 越 来 越 多 的 交换 机 厂商 
均 默 认 支持 Auto-MDIX， 使 得 MID-X 与 MDI 的 区 别 逐 渐变 得 模糊 ， 因 此 X 标 记 几 乎 也 不 再 
使 用 了 。 

















02.05 ”如 何 描述 交换 机 的 处 理 能 力 


交换 机 的 处 理 能 力也 称 为 背 板 (backplane ) 容量 或 交换 机 容量 ， 有 的 产品 说 明 还 会 用 “交换 
结构 为 x x Gbit/s” 的 形式 来 描述 处 理 能 

交换 机 容量 单位 为 bit/s( 比特 每 秒 )， 该 值 越 大 ， 表 明 交 换 机 在 单位 时 间 内 所 传输 的 数据 
越 多 。 

当 整 个 交换 结构 ( switching fabric ) 中 所 有 端口 的 总 带宽 小 于 该 交换 结构 的 容量 时 ， 整 个 交 
换 结 构 表 现 为 非 阻 塞 (non-blocking ) 形式 ， 即 带宽 十 分 充裕 ， 没 有 等 待 处 理 的 情况 。 反 之 ， 当 所 
有 端口 总 带宽 超过 该 交换 结构 容量 时 ， 则 称 为 该 交换 结构 过 载 ( over subscription )。 

在 交换 机 只 有 快速 以 太 网 端口 时 ， 如 果 处 理 能 力 达 到 端口 数 x2 x 100Mbit/s 的 数值 ， 就 可 
以 称 之 为 非 阻 塞 交换 结构 。 其 中 “x2” 表 示 上 行 与 下 行 均 为 采用 100Mbit/s 的 全 双 工 通信 。 以 
一 台 有 8 个 端口 的 快速 以 太 网 交换 机 为 例 ， 如 果 其 背 板 容量 达到 8 x 2 x 100=1600Mbit/s， 即 达到 
1.6Gbit/s 就 可 将 其 视 为 非 阻塞 。 

同样 ， 对 于 千 兆 以 太 网 端口 而 言 ， 只 要 处 理 能 力 达 到 端口 数 x2 x 1Gbit/s 的 数值 ， 即 可 将 其 
视 为 非 阻塞 。 

交换 机 的 处 理 能 力 和 在 整个 交换 机 系统 内 部 、 各 个 回路 处 理 数 据 的 传输 总 线 速度 有 着 密切 关 
系 ( 图 2-13 )。 
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交换 结构 与 背 板 概念 
交换 结构 卡 

















交换 结 





























分 组 处 理 "|| 通信 量 || 队列 缓存 
转发 处 理 管理 














































































































由 于 总 线 速率 ( 背 板 容量 ) 是 指 在 1 秒 内 能 够 处 理 的 bit 量 ， 因 此 如 果 交 换 机 内 部 的 控制 处 
理 器 等 其 他 模块 1 秒 内 所 处 理 数 据 的 帧 数量 较 少 ， 就 无 法 获得 与 交换 机 规格 一 致 的 传输 速率 。 
此 ， 在 交换 机 产品 规格 说 明 中 ， 除 了 会 说 明 交 换 结 构 容 量 或 背 板 容量 外 ， 还 会 说 明 L2 能 够 桥接 
的 分 组 数 (这 里 的 分 组 是 指数 据 帧 )， 其 单位 则 使 用 pps ( packet per second ) 来 表示 。 











02.06 ”交换 机 如 何 分 类 


02.06.01 按照 交换 机 的 功能 分 类 


交换 机 按 功 能 可 以 分 为 L2 交换 机 和 1L3 交换 机 两 大 类 。 


国 L2 交换 机 
没有 IP 路 由 功能 和 仪 处 理 数据 链 路 层 的 交换 机 称 为 L2 交换 机 。 根 据 L2 交换 机 搭载 功能 的 
不 同 ,， 还 有 如 表 2-7 所 示 的 几 种 分 类 。 
L2 交换 机 的 分 类 
种 类 说 明 
拥有 VLAN、QoS、 认 证 等 功能 的 交换 机 
































带 有 Web 管理 界面 、 能 够 通过 Web 浏览 器 进行 访问 并 设置 管理 的 智能 交换 机 
具有 SNMP 引擎 功能 ， 能 够 远程 管理 的 交换 机 。 没 有 这 个 功能 的 交换 机 则 称 
为 非 智 慧 型 交换 机 
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国 L3 交换 机 
带 有 IP 路 由 功能 的 交换 机 称 为 工 3 交换 机 。 关 于 L3 交换 机 的 功能 请 详细 参考 本 书 第 4 章 。 


02.06.02 ”按照 设备 外 形 分 类 


国 桌面 式 交 换 机 
顾名思义 ， 桌 面 式 交换 机 是 指 放置 在 桌面 上 使 用 的 交换 机 。 该 类 交换 机 一 般 只 能 连接 几 台 网 
络 设备 ， 通 常用 于 连接 家 庭 个 人 计算 机 或 办 公 室 中 成 岛 型 分 布 的 台式 计算 机 等 ， 也 被 称 为 岛 型 集 
线 器 或 边缘 交换 机 。 

市 场 上 销售 的 桌面 式 交换 机 主要 是 3 端口 、5 端口 、8 端口 、16 端口 和 24 端口 的 产品 。 

设备 的 外 壳 分 为 塑料 外 壳 和 金属 外 壳 两 种 。 

塑料 外 壳 的 交换 机 重量 轻 、 价 格 便宜 ， 但 考虑 到 散热 因素 ， 端 口 数 最 多 为 161， 电源 也 一 般 
采用 外 接 电源 的 形式 。 

金属 外 壳 的 交换 机 内 部 芯片 的 散热 性 较 好 ， 几 乎 都 采用 内 置 电源 。 

交换 机 电源 也 分 为 内 置 和 外 置 两 种 。 

内 置 电源 一 般 在 设备 上 配 有 AC 连接 头 ， 使 用 对 应 的 电源 线 缆 连 接 搬 座 即 可 供电 。 尽 管 使 用 
AC 连接 头 的 硬件 与 其 他 硬件 相 比 分 量 较 重 ,但 该 类 电源 也 有 因为 电源 线 缆 难以 拔 出 而 使 插座 周 
围 较 为 整洁 的 优点 。 

外 置 电源 一 般 使 用 AC 电源 适配器 ， 也 有 通过 USB 供电 的 。 能 够 通过 USB 供电 的 设备 即便 
没有 外 部 电源 插座 ， 也 能 直接 通过 USB 接口 从 笔记 本 电脑 获取 电源 。 一 般 可 以 将 采用 外 置 电 源 
的 硬件 的 构造 设计 得 非常 紧密 ， 桌 面 式 交换 机 使 用 的 AC 电源 适 配 需 是 类 似 于 手机 充电 器 的 小 型 
交换 AC 适配器 (这 里 的 交换 不 是 网 路 术语 ， 而 是 指 电路 中 的 整流 方式 )， 因 此 体积 不 会 太 大 。 

桌面 式 的 交换 机 一 般 不 安装 额外 的 风扇 ， 均 采用 无 风扇 设计 ， 运 行 噪声 较 小 。 

该 类 中 某 些 型 号 的 交换 机 外 壳 上 还 会 带 有 用 来 挂 在 墙 上 的 挂 孔 ， 或 用 来 贴 在 金属 桌面 上 的 
磁 贴 。 

该 类 交换 机 的 价格 在 数 千 日 元 到 数 万 日 元 ( 几 百 元 至 上 千 元 人 民 币 ) 不 等 。 






















































































图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


02.06 ”交换 机 如 何 分 类 | 79 


桌面 式 交换 机 









Link 建立 / 
Active LED 












































于 安装 在 墙 上 的 挂 孔 























国 移动 插座 式 交 换 机 

移动 插座 式 交 换 机 是 指 和 移动 插座 (拥有 多 个 插口 和 延长 线 的 排 插 ) 外 观 很 像 的 一 种 交换 
机 。 该 交换 机 背部 还 配 有 磁 贴 ， 可 以 贴 在 办 公 虽 的 表面 上 。 一 般 采 用 无 风 书 散热、 塑料 外 过 以 及 
内 置 电 源 。 该 类 交换 机 的 优点 是 外 部 布线 很 容易 整理 ， 通 过 LED 能 够 清楚 得 知 工作 状态 。 目 前 
移动 持 座 式 交换 机 通常 是 8 端口 的 硬件 配置 。 
移动 插座 式 交 换 机 ( Corega CG-SW08TXTAPR ) 
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国 箱 式 交 换 机 
箱 式 交换 机 能 够 安装 在 19 英寸 机 架 上 ， 一 般 高 度 为 1U 或 207。 
交换 机 一 般 采 用 金属 外 壳 及 内 置 电源 ， 并 配 有 冷却 风 书 。 
交换 机 以 下 行 24 端口 (10/100BASE-TX ) 或 48 端口 (10/100/1000BASE-T)、 上 行 2 端口 


» 


该 
该 








类 
类 





中 1U 或 2U 的 意思 请 参考 01.05 节 。 
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(于 兆 以 太 网 ) 或 4 端口 (万 兆 以 太 网 ) 的 配置 居多 。 其 下 行使 用 RJ-45 的 铜 线 接口 ， 上 行使 用 铜 
线 接口 或 SFP/SFP+ 覃 进行 连接 。 
这 类 交换 机 多 在 企业 中 作为 为 接 入 交换 机 使 用 ， 并 支持 电源 匈 余 。 表 2-8 介绍 了 主流 的 箱 式 
交换 机 产品 。 
主流 的 箱 式 交换 机 
制造 商 、 产 品 型 号 说 明 

Cisco Catalyst 2960 系列 背 板 容量 有 16、32、88Gbit/s 这 几 个 类 型 ; 最 大 MAC 
地 址 数 为 8000; 最 多 支持 255 个 VLAN ; 有 8、24、 
个 下 行 端口 ， 以 及 两 个 上 行 端口 ， 也 有 些 型 号 带 有 下 


PoE 端口 ?， 操 作 系统 为 10S， 分 为 功能 受 限 的 廉价 
LAN Lite 和 功能 不 受 限 的 LAN Base 两 个 类 型 




































































Cisco Catalyst 2360 系列 背 板 容量 为 88Gbit/s ; 最 大 MAC 地 址 数 为 8000; 最 多 
持 128 个 VLAN ; 48 个 10/100/1000BASE-T 端口 与 
4 个 SFP+ ( 万 兆 ) 端 口 ; 操作 系统 为 1DS 






































D-Link DGS-3120 系列 3 背 板 容量 在 88~136Gbit/s 之 间 ; 最 大 MAC 地 址 数 为 
16000;， 最 多 支持 4094 个 VLAN ( 其 中 动态 VLAN 为 
255 个 ); 配 有 8、24、48 的 10/100/1000BASE-T 端 
以 及 4 个 (或 24 个 ) SFP ( 千 兆 ) 端 口 ， 堆 寺 数目 最 多 
可 为 12 台 。 操 作 系 统 分 为 功能 受 限 的 S| 和 全 功能 的 El 


立 电线 Apresia Light 系列 背 板 容量 在 5.6~36Gbit/s 之 间 ; 最 大 MAC 地 址 数 为 
8000; 最 多 支持 4000 个 VLAN ; 支持 8、16、24 个 下 
行 端口 以 及 2 或 4 个 SFP 端 
Juniper Networks EX2200 背 板 容量 在 56~104Gbit/s; 最 大 MAC 地 址 数 为 
16000; 最 多 支持 1024 个 VLAN; 支持 24、48 个 
10/100/1000BASE-T 端口 以 及 4 个 SFP 端 
ALAXALA Networks AX1200S | 背 板 容量 为 8.8Gbit/s ; 最 大 MAC 地 址 数 为 16384; 最 
系列 多 支持 256 个 VLAN ; 支持 24、48 个 下 行 端口 与 4 个 

















































































































































































































上 行 端 

















国 机 框 式 交换 机 

机 框 式 交换 机 是 指 在 机 框 内 ( chassis ) 组 合 多 个 接口 模块 进行 工作 的 交换 机 。 该 类 交换 机 可 
以 根据 需要 选择 端口 数 和 不 同类 型 的 接口 模块 ， 扩 展 性 非常 好 。 

在 机 框 中 可 以 放置 电源 、 风 遍 、 交 换 结 构 等 交换 机 组 成 部 分 ， 再 插入 管理 模块 与 接口 模块 ， 






































@ 这 里 介绍 的 交换 机 仅 指 日 本 市 场 上 的 产品 ， 全 球 主流 交换 机 还 有 很 多 。 译 者 注 

@，POE (Power Over Ethernet) 指 的 是 在 现 有 的 以 太 网 布线 基础 架构 不 作 任何 改动 的 情况 下 ， 在 为 一 些 基 于 IP 的 终端 在 
传输 数据 信号 的 同时 ， 还 能 为 此 类 设备 提供 直流 供电 的 技术 。 译 者 注 

”D-Link 为 友 讯 集团 的 商标 ， 其 成 立 于 1986 年 。 译 者 注 
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这 一 整体 便 组 成 了 机 框 式 交 换 机 供用 户 使 用 。 表 2-9 列举 了 主要 的 一 些 机 框 式 交换 机 的 产品 。 


e 线 卡 (line card ) 
可 以 插入 机 框 搬 模 的 接口 单元 模块 或 管理 单元 模块 。 




















e 背 板 ( back plane ) 
机 框 上 构成 总 线 的 主板 ， 配 有 能 够 插入 线 卡 的 连接 口 。 


主流 的 机 框 式 交换 机 
厂商 、 产 品 信号 说 明 












































Cisco Catalyst 4500 系列 有 3 槽 、6 槽 、7 槽 、10 槽 四 种 机 框 。 线 卡 也 根据 插 
槽 不 同 支持 6Gbit/s、24Gbit/s、48Gbit/s。 核 心 管理 模 
块 称 为 Supervisor Engine， 负 责 处 理 VLAN、 生 成 树 、 
Ether Channel 、 巨 型 帧 、L3 交换 等 。 可 以 通过 插入 
两 个 Supervisor Engine 模块 达到 管理 宛 余 的 目的 。 操 


FE 系统 关 
系统 为 IOS Catalyst 4506 

















































































































Cisco Catalyst 6500 系列 草 、4 槽 、6 槽 、9 槽 、13 槽 五 种 机 杠 。 其 中 9 
匡 中 型 号 为 6509-NEB 的 机 框 采 用 扩展 模块 纵向 
J 结构， 其 余 则 采用 横向 插入 结构 。 管 理 模块 和 
yst 4500 一 样 管理 模块 称 为 Supervisor Engine。 
系统 采用 10S 或 者 CatOS“。Supervisor Engine 
导 个 插 槽 的 最 大 交换 容量 为 80Gbit/s。 在 6509 中 支 
寺 最 多 130 个 端口 的 万 兆 以 太 网 吞吐 
有 2 槽 的 AX7804S、4 槽 的 AX7808S、8 槽 的 AX7816S 
三 个 型 号 。 最 大 支持 768Gbit/s 的 本 地 交换 容量 ， 最 大 
支持 384Gbit/s 的 背 板 交换 容量 。 最 多 支持 384 个 端 
的 千 兆 以 太 网 以 及 32 个 端口 的 万 兆 以 太 网 



















































































































































































ALAXALA Networks AX7800S 
系列 





















































Juniper Networks EX8200 有 8 权 的 EX8206、16 权 的 EX8216 两 个 型 号 。 
EX8216 最 多 支持 768 个 和 干 兆 以 太 网 端口 和 128 个 
万 兆 以 太 网 端口 的 线 速 处 理 。 操 作 系 统 为 Junos。 有 
线 卡 可 选择 48 端口 的 10/100/1000BASE-T、48 端 
1000BASE-X (SFP)、8 端 10GBASE-X ( SFP+ )、 
40 端口 的 10GBASE-X ( SFP+ ) 这 几 类 































































































EX8206 

















人 将 多 条 链 路 捆绑 聚合 成 一 条 逻辑 链 路 的 技术 。 译 者 注 
@ CatOS 来 源 于 思科 收购 的 Crescendo 通信 公司 开发 的 XDI 操 作 系 统 ， 逐 步 被 思科 自己 开发 IOS 进行 替代 或 并 
用 。 译 者 注 
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国 端口 价格 

在 交换 机 中 还 有 个 名 为 “端口 价格 ”的 指标 。 该 指标 是 根据 交换 机 硬件 或 端口 模块 的 总 价 和 
端口 数 计 算出 的 每 个 端口 的 价格 。 当 因 模 块 的 不 同 而 搭载 端口 的 数目 也 不 同时 ， 能 够 通过 端口 价 
格 指标 进行 产品 间 的 横向 比较 。 

对 于 快速 以 太 网 、 千 兆 以 太 网 、 万 兆 以 太 网 而 言 ， 随 着 速率 的 上 升 ， 其 对 应 的 端口 价格 也 随 
之 提高 。 

世界 上 第 一 台 以 太 网 交换 机 EtherSwitch 的 端口 价格 (10BASE-T ) 为 1500 美元 。 

到 2012 年 8 月 为 止 , 昌 面 式 交换 机 以 及 移动 插座 式 交 换 机 的 端口 价格 ,快速 以 太 网 的 约 为 
几 百 日 元 左右 ， 千 兆 以 太 网 的 约 为 500 日 元 左右 ( 约 合 人 民 币 30 元 )。 男 外 企业 使 用 的 箱 式 以 及 
机 框 式 交 换 机 ， 根 据 种 类 和 构造 的 不 同 ， 端 口 价格 为 数 千 日 元 至 数 十 万 日 元 不 等 ， 跨 度 非 常 大 。 


端口 价格 ( 厂商 建议 零售 价 ) 为 280 日 元 的 低 端 交换 机 ( 快速 以 太 网 ) 
日 本 Logitec 公司 的 LAN-SWO5/PH 

















Tm 


端口 价格 ( 厂商 建议 零售 价 ) 为 660 日 元 的 中 低 端 交换 机 ( 快速 以 太 网 ) 
Buffalo 公司 的 LSW4-GT-8EP/WH 
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02.06.03 ”根据 用 途 分 类 


根据 思科 公司 倡导 的 3 层 模型 ", 交换 机 还 可 以 根据 其 在 网 络 中 所 处 的 位 置 和 用 途 分 类 , 具体 
如 表 2-10 所 示 。 





























@ 该 分 层 模型 是 从 使 用 思科 公司 网 络 产品 进行 布 网 的 角度 进行 的 网 络 分 类 ， 分 为 接 入 层 (AccessLayer)、 分 布 层 
(Distribution Layer ) 和 核心 层 ( Core Layer )。 译 者 注 
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根据 分 层 模型 对 交换 机 进行 分 类 
名 称 说 明 
核心 交换 机 ( 核心 





























十 





通过 管理 作为 骨干 网 络 的 汇聚 层 交 换 机 来 完成 高 速 交换 任务 的 交换 机 。 当 企业 网 络 分 布 在 
多 个 楼 宇 中 时 ， 通 过 汇聚 交换 机 将 接 入 交换 机 以 楼 层 为 单位 集中 ， 最 终 通 过 楼 宇 间 的 核心 
交换 机 完成 高 速 交换 。 核 心 交换 机 可 使 用 L2 交换 机 ， 也 可 以 使 用 L3 交换 机 

汇聚 交换 机 ( 汇聚 层 ) 汇聚 接 入 交换 机 的 交换 机 ， 也 可 以 称 为 分 布 交换 机 。 使 用 L3 交换 机 完成 VLAN 之 间 的 交 
换 。 有 时 也 可 以 省 去 该 层 ， 仅 使 用 核心 层 和 接 入 层 构 建 网 络 
接 入 交换 机 ( 接 入 层 )、 边 | 直接 连 # 的 个 人 计算 机 、IP 电话 机 等 终端 的 交换 机 。 一 般配 置 在 企业 的 各 个 楼 
缘 交 换 机 也 称 为 楼 层 交 换 机 。 使 用 PoE 和 QoS “技术 。VLAN 在 接 入 个 人 计算 机 的 下 行 端 
分 割 ， 成 为 通 往 汇聚 交换 机 和 核心 交换 机 传输 链 路 的 干线 ( trunk ) 










































































































































































































































































中 进行 


























交换 机 的 分 层 模型 
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02.07 成 为 交换 机 性 能 指标 的 端口 种 类 与 数量 


一 台 交 换 机 的 端口 数目 越 多 ， 不 仅 交换 机 能 连接 的 硬件 会 增加 ， 而 且 交 换 机 的 背 板 容量 也 会 
随 之 增 大 。 因 此 在 功能 相同 的 产品 系列 中 ， 端 口 数 目 越 多 的 型 号 ,价格 也 就 越 贵 。 

端口 数目 越 多 ， 非 阻塞 的 背 板 容量 也 会 随 之 变 大 。 男 外 ， 由 于 外 部 连接 的 硬件 数目 也 会 增 
加 ， 因 此 需要 注意 在 选 则 交换 机 设备 时 查看 设备 的 MAC 地 址 数 是 否 足 够 。 











中 Quality of Service， 服 务 质量 控制 ， 指 该 交换 拥有 控制 服务 质量 的 能 译 者 注 
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02.07.01 快速 以 太 网 ( 10/100 ) 端 口 


在 桌面 式 交换 机 和 低 端 箱 式 交 换 机 中 有 的 只 配备 了 该 类 端口 ， 也 有 的 为 了 用 于 连接 下 行 链 路 
配置 了 多 个 该 类 端口 。 快 速 以 太 网 ( 10/100 ) 端口 使 用 RJ-45 形状 的 接口 ， 使 用 3 类 或 5 类 以 上 
的 双 绞 线 。 由 于 目前 Auto-MDIX 功能 已 经 成 为 主流 交换 机 的 标 配 ， 因 此 无 需 关 注 是 直 连 线 还 是 
双 绞 线 ， 但 若是 老式 交换 机 ， 仍 需 注意 双 绞 线 的 类 型 。 因 为 传输 线 缆 使 用 的 是 铜 线 ， 所 以 该 类 端 
口 和 千 兆 以 太 网 端口 都 可 以 被 称 为 铜 端口 ( Copper port )， 也 可 简称 为 铜 口 ( Copper )。 



































02.07.02 和 干 焰 以 太 网 端口 (10/100/1000 ) 端 口 


目前 市 场 上 销售 的 交换 机 ， 除 了 一 部 分 桌面 式 交 换 机 或 低 端 箱 式 交换 机 外 ， 还 有 一 部 分 产品 
配备 了 RJ-45 形状 的 千 兆 以 太 网 接口 。 通 过 自 适 应 功能 ， 该 端口 同样 可 以 连接 10BASE-T (以 太 
网 ) 或 10/100BASE-TX (快速 以 太 网 )。 不 过 在 连接 千 兆 以 太 网 时 ， 需 要 使 用 增强 型 $ 类 双 绞 线 。 








02.07.03 ”光纤 专用 端口 ( SFP/SFP+ ) 


在 箱 式 以 上 规格 的 交换 机 上 会 配备 光纤 专用 端口 ， 主 要 用 于 连接 上 行 链 路 。 这 个 端口 也 可 以 
称 作 光电 转换 接口 ， 名 为 柳 ( slot ) 的 转换 器 插入 口 是 一 个 物理 接口 ， 在 这 个 接口 插入 可 与 交换 机 
匹配 的 转换 器 即 可 。 有 关 转 换 器 的 详细 内 容 可 以 参考 01.04 节 。 

在 箱 式 交 换 机 中 为 了 连接 千 兆 以 太 网 的 上 行 链 路 通常 都 会 搭载 SFP (mini-GBIC ) 转换 器 接 
口 ， 不 过 较 老 的 交换 机 型 号 也 有 搭载 GBIC 接口 的 情况 。 

机 框 式 交换 机 中 一 般 会 使 用 配备 了 多 个 千 兆 以 太 网 SFP 或 GBIC 接口 的 接口 卡 ， 也 有 使 用 配 
备 了 万 兆 以 太 网 XENPAK 、XFP 或 SFP+ 接口 的 接口 卡 ， 也 就 是 说 在 一 块 接口 卡 中 存在 多 个 相同 
标准 的 转换 器 槽 。 

需要 注意 的 是 ， 即 使 是 相同 标准 的 转换 器 (如 SFP )， 也 有 可 能 会 因为 使 用 的 光纤 线 缆 类 型 
或 传输 距离 的 不 同 ， 导 致 具体 的 端口 产品 有 所 差异 ( 例如， 端口 是 使 用 1000BASE-SX 标准 还 是 
1000BASE-LX 标准 等 )。 



























































02.07.04 ”PoE 端口 





有 的 交换 机 还 会 配 有 PoE ( Power over Ethernet ) 端口 。 该 类 端口 使 用 以 太 网 线 缆 连 接 IP 电 
话 设备 或 无 线 LAN 接 和 人 点， 并 通过 该 线 缆 对 设备 进行 供电 。 这 个 功能 源 自 思科 公司 在 2000 年 开 
发 的 面向 了 电话 供电 的 技术 ， 也 可 称 为 线 内 电源 ( in-line power ) 技术 。 
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一 般 的 家 用 电话 通过 RJ-11 接口 的 电话 线 从 电话 交换 机 “得 到 48V 的 直流 供电 ， 因 而 无 需 外 
接 电源 (无 绳 电话 和 FAX 电话 仍 需要 外 接 电源 )。 与 此 类 似 ， 为 了 使 耻 电话 也 无 需 外 接 电源 就 
能 够 简单 地 接 入 网 络 ， 通 过 以 太 网 线 缆 给 卫 电话 提供 48V 直流 电 的 技术 便 是 PoE 技术 。 

在 开发 PoE 技术 的 同时 ， 无 线 LAN 标准 化 的 工作 也 逐渐 完成 了 ， 这 就 使 得 PoE 同样 可 以 
为 无 线 LAN 的 接 入 点 进行 供电 。 无 线 接 入 点 在 办 公 室 的 天 花 板 、 墙 壁 等 处 都 可 以 设置 ,供电 
难度 很 高 ， 但 通过 PoE 技术 ， 即 使 周边 没有 电源 的 接 入 点 ， 通 过 一 根 以 太 网 线 缆 也 可 以 解决 供 
电 问 题 。 

PoE 技术 作为 IEEE 802.3af 在 2003 年 完成 了 标准 化 工作 ， 从 此 该 技术 同样 可 以 应 用 于 网 络 
照相 机 、POS 终端 、IC 卡 终端 等 连接 以 太 网 的 硬件 设备 。 



















































































国 PoE (IEEE 802.3af ) 与 PoE+ ( IEEE 802.3at ) 

IEEE 802.3af 如 表 2-11 所 示 ， 定 义 了 5 个 电能 级 别 ， 可 以 根据 电阻 值 判断 用 电 设备 属于 哪个 
级 别 。 交 换 机 会 计算 用 电 设备 所 需 的 最 大 电能 。 

当 交 换 机 不 支持 电能 级 别 中 的 可 选 级 时 ， 会 使 用 默认 级 0 级 。 

可 选 级 4 在 IEEE 802.3at 中 被 重新 定义 ， 也 可 称 为 PoE+。 


E 光 2》 IEEE802.3af 电能 级 别 









































电能 级 别 最 大 直流 供电 电能 补充 
0 15.4W 默认 级 
1 4.0W 可 选 级 
2 7.0W 可 选 级 
3 15.4W 可 选 级 
4 最 大 50W 可 选 级 (IEEE 802.3at )。 使 用 超 5 类 以 上 UTP 线 费 




















比较 PoE 与 PoE+ 
IEEE 802.3af ( PoE ) IEEE 802.3at ( PoE+ ) 
44V~57V 50V~57V 
10mA~350mA 10mA~600mA 
15.4W 34.2W 
3 类 以 上 UTP 线 费 超 5 类 UTP 线 缆 


支持 PoE 功能 的 交换 机 一 般 都 会 在 产品 规格 说 明 书 中 指明 “每 个 端口 最 大 支持 x x W， 设 
备 最 大 供电 x W” 等 可 供给 的 电能 信息 。 在 连接 具体 用 电 硬 件 时 ， 需 要 参考 此 说 明 考虑 交换 机 的 
























































































































































中 这 里 的 交换 机 指 市 话 电信 网 络 中 的 程控 交换 机 。 译 者 注 
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02.07.05 上行 链 路 端口 数 


接 和 交换机、 汇聚 交换 机 需要 汇聚 下 行 连接 的 所 有 主机 流量 ， 并 将 这 些 流 量 传输 到 上 行 的 
核心 交换 机 或 网 关 之 中 ， 而 在 这 个 网 络 拓扑 中 用 于 向 核心 交换 机 、 网 关 传输 流量 的 链 路 端口 就 叫 
做 上 行 链 路 端口 (反方 向 则 叫做 下 行 链 路 端口 ) 上 行 链 路 端口 原本 用 于 集线器 的 级 联 。 在 箱 式 
交换 机 中 一 般 会 配备 2~4 个 千 兆 以 太 网 或 万 兆 以 太 网 的 上 行 链 路 端口 。 比 如 ,一 台 拥 有 24 个 下 
行 链 路 端口 的 快速 以 太 网 交换 机 ， 上 行 速率 必须 达到 2.4Gbit/s 才能 进行 非 阻塞 ( 即 不 发 生 等 待 延 
迟 ) 的 下 行 至 上 行 的 通信 。 这 样 一 来 ， 交 换 机 就 需要 配备 3 个 以 上 千 兆 以 太 网 端口 或 1 个 以 上 的 
万 兆 以 太 网 端口 才能 达到 预期 的 通信 效果 。 但 由 于 带 有 非 阻 塞 功 能 的 交换 机 硬件 费用 很 高 ， 从 降 
低 成 本 角度 考虑 ， 实 际 中 也 会 使 用 仅 有 两 个 千 兆 以 太 网 端口 的 交换 机 型 号 。 


箱 式 交换 机 的 上 行 链 路 端口 与 下 行 链 路 端口 示例 ( 以 Cisco Catalyst 2960S-48TD-L 为 例 ) 









































48 端 口 的 下 行 链 路 2 端口 的 上 行 链 路 























02.07.06 下行 链 路 端口 数 








下 行 链 路 所 使 用 的 端口 几乎 都 是 铜 口 ， 也 就 是 RJ-45 标准 的 以 太 网 接口 。 在 核心 交换 机 或 服 
务 供应 商 的 网 络 交 换 机 中 也 有 使 用 光纤 接口 作为 下 行 链 路 的 端口 ， 但 是 一 般 这 类 交换 机 均 采 用 机 
框 式 交换 机 (图 2-20 )。 


思科 公司 的 48 端口 光纤 接口 ( SFP ) 模 块 卡 
WS-X6748.SFP ( 机 框 式 交 换 机 的 接口 模块 卡 ) 











桌面 式 交 换 机 的 下 行 端口 一 般 从 4 端口 至 24 端口 不 等 ， 箱 式 交 换 机 下 行 端口 数目 一 般 在 
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12~48 个 之 间 。 
机 框 式 交 换 机 中 ，1 个 接口 模块 卡 中 能 够 提供 48 个 铜 接口 或 8~48 个 光纤 接口 。 


思科 公司 48 端口 铜 接口 模块 卡 
WS-GE-45AF ( 机 框 式 交 换 机 的 接口 模块 卡 ) 





02.07.07 交换 机 堆 释 


通过 堆 琶 ( Stack ) 线 绕 能 够 将 多 台 交 换 机 进行 外 部 连接 ， 使 多 台 箱 式 交 换 机 在 网 络 中 成 为 一 
台 逻 辑 交 换 机 使 用 。 交 换 机 堆 受 可 以 通过 使 用 堆 受 专用 端口 或 10GBASE-CX 等 同 轴线 缆 高 速 连 
接 多 台 交 换 机 来 实现 。 

思科 公司 的 Catalyst 2960 系列 交换 机 通过 自 带 的 FlexStack 功能 ， 最 多 可 以 将 4 台 交 换 机 进 
行 堆 辣 连接 。Catalyst 3750 系列 交换 机 则 通过 自 带 的 StackWise Plus 功能 ， 最 多 可 将 9 台 设 备 进 
行 堆 县 连接 。 另 外 ， 思 科 公 司 的 Catalyst 6500 系列 交换 机 使 用 VSS ( Virtual Switching System， 
虚拟 交换 系统 ) 功能 ， 能 够 将 两 台 物 理 的 交换 机 虚拟 成 1 台 逻 辑 交 换 机 使 用 。 

将 多 台 交 换 机 虚拟 为 一 台 逻 辑 交 换 机 的 功能 在 不 同 公司 有 不 同 的 叫 法 ，Juniper 公司 称 
之 为 虚拟 机 框 系统 ( VCS，Virtual Chassis System )、 博 科 通 信和 系统 公司 称 之 为 虚拟 簇 交换 
(VCS, Virtual Cluster Switching )、 安 奈 特 网 络 公司 * 称 之 为 虚拟 机 框 堆 琶 ( VCS，Virtual Chassis 
Stacking )， 最 后 H3C 技术 公司 2 则 称 之 为 智能 弹性 架构 ( IRF，Intelligent Resilient Framework )。 



































中 英文 为 Allied Telesis， 成 立 于 日 本 的 一 家 交换 机 路 由 器 生产 厂商 。 一 一 译 者 注 
@， 即 华 三 技术 公司 ， 由 原来 中 国 的 华为 技术 公司 和 美国 的 3COM 公司 合资 成 立 ， 现 为 HP 旗下 全 资 子 公司 。 





译 者 注 
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EE 洒 。Cisco Catalyst 3750 交换 机 的 StackWise 端口 和 专用 线 缆 





02.08 ”交换 机 搭载 的 其 他 功能 


本 节 在 比较 交换 机 产品 的 基础 上 ,说 明 交 换 机 产品 规格 说 明 书 ( Catalog Specification ) 中 描 
述 的 相关 功能 。 


02.08.01 MAC 地址 数 


在 规格 说 明 书 中 记载 的 “MAC 地 址 数 ” 是 指 1 台 交 换 机 能 够 学 习 到 的 MAC 地 址 表 的 实 
体 总 数 。 一 般 来 说 ， 小 型 交换 机 的 数目 在 1000 至 10000 之 间 ， 而 Catalyst 6500 中 的 Supervisor 
Engine 720 能 够 达到 96000 个 实体 数 。 


02.08.02 ”巨型 帧 


在 普 通 的 以 太 网 交换 中 ，MTU ( Maximum Transmit Unit， 最 大 传输 单元 ) 尺寸 为 1500 个 字 
节 。 但 某 些 通过 VLAN 封装 后 的 以 太 网 帧 格式 会 增 大 到 1600 个 字 节 ， 此 时 将 这 类 数据 帧 称 为 小 
巨人 帧 (baby giant )。 有 时 为 了 提高 传输 效率 ， 以 太 网 帧 格式 的 有 效 载 荷 会 变 得 更 大 ， 这 时 将 这 
类 帧 称 为 巨型 帧 (jumbo frame )。 

Cisco Catalyst 产品 最 大 可 以 支持 9216 个 字 节 的 巨型 帧 ， 并 且 可 以 通过 设置 调整 交换 机 支持 
的 巨型 帧 尺寸 上 限 。 
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02.08.03 生成 树 功 能 


看 桥接 环 与 广播 风暴 

如 图 2-23 中 的 网 络 拓扑 1 所 示 ， 当 交换 机 用 于 两 个 网 段 中 继 时 ， 如 果 该 交换 机 发 生 故 障 ， 
那么 两 个 网 段 之 间 的 通信 就 会 中 断 。 为 了 避免 这 种 情况 的 发 生 ， 需 要 像 网 路 拓扑 2 中 所 示 的 那 
样 ， 使 用 两 台 交 换 机 对 两 个 网 段 进行 中 继 ， 这 样 一 来 当 其 中 一 台 交 换 机 发 生 故 障 时 ， 另 一 台 也 能 
够 继续 进行 通信 处 理 。 但 采用 网 络 折 扑 2 的 话 ， 也 可 能 会 出 现 桥接 环 (bridging loop ) 问题 。 


























2 桥接 环 














当 交 换 机 1 发 生 故 障 
时 ， 交 换 机 2 仍然 可 
以 进行 通信 处 理 
































交换 机 发 生 故 障 





通信 就 会 中 断 。 交换 机 1 交换 机 2 




















网 络 拓扑 1 网 络 拓扑 2 
桥接 环 的 发 生 过 程 如 下 所 示 ( 所 列 数 字 与 图 2-24 相对 应 ) 


QD PC-A 向 PC-B 发 送 以 太 网 数据 帧 。 

@) 交换 机 1 与 交换 机 2 均 从 各 自 的 端口 1 收 到 了 该 数据 帧 。 由 于 之 前 以 太 网 帧 格式 发 送 方 的 
MAC 地 址 (PC-A 的 地 址 ) 并 不 曾 记 录 于 两 台 交 换 机 的 MAC 地 址 表 中 ， 因 此 这 次 两 台 交 换 
机 分 别 在 各 自 的 端口 1 下 标记 了 PC-A 的 MAC 地 址 ， 并 将 其 添加 在 MAC 地 址 表 中 。 

@ 由 于 两 台 交 换 机 在 各 自 的 MAC 地 址 表 中 都 没有 关于 该 数据 帧 发 送 目的 地 MAC 地 址 
(PC-B 的 MAC 地 址 的 记录 )， 所 以 将 该 数据 帧 向 除 接收 端口 (端口 1) 以 外 的 所 有 端口 
(本 例 中 是 端口 2 ) 进行 广播 转发 。 

@ 这 时 PC-B 从 两 台 交 换 机 中 接收 到 了 同一 个 数据 帧 。 与 此 同时 ， 交 换 机 1 和 交换 机 2 也 分 
别 从 对 方 那里 接收 到 同一 个 数据 帧 。 

@) 交换 机 1 从 端口 2 中 收 到 了 交换 机 2 发 来 的 复制 数据 帧 ， 该 数据 帧 的 发 送 方 MAC 地 址 仍 
是 PC-A， 但 由 于 是 从 端口 2 处 收 到 的 ， 所 以 又 将 PC-A 的 MAC 地 址 标记 在 了 端口 2 下， 
并 记录 到 该 交换 机 的 MAC 地 址 表 中 。 与 此 同时 ， 交 换 机 2 也 做 了 同样 的 事情 。 而 该 数 
据 帧 的 目的 地 MAC 地 址 为 PC-B,， 但 PC-B 的 信息 尚未 记录 在 两 台 交换 机 的 MAC 地 址 表 
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中 ， 所 以 两 台 交 换 机 向 除 接收 端口 以 外 的 所 有 端口 (此 时 为 端口 1 ) 广播 该 数据 帧 。 
@ 两 台 交 换 机 又 同时 从 端口 1 处 接收 到 了 复制 数据 帧 ， 重 新 回 到 了 步骤 @， 并 永远 重复 这 
和 过 程 。 








桥接 环 的 发 生 过 程 
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Guy CR) 
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| 3 | 端口 2 
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我 们 将 这 种 1 个 以 太 网 数据 帧 在 两 台 交 换 机 中 永远 相互 转发 的 状态 称 为 桥接 环 ， 这 是 一 种 由 
两 台 交换 机 均 不 知道 对 方 存在 而 造成 的 现象 。 当 大 量 的 广播 数据 帧 在 桥接 环 内 持续 流通 ， 会 使 
sy 播 数 据 帧 占用 (广播 风暴 )， 普 通 的 单 播 数据 帧 则 无 法 在 网 络 中 传输 。 





国 生成 树 
为 了 避免 桥接 环 问 题 ， 我 们 可 以 使 用 生成 树 协议 ( STP，Spanning Tree Protocol )， 使 交换 机 
之 间 相 互 知道 对 方 的 存在 ， 具 体 的 做 法 就 是 在 交换 机 之 间 交 换 BPDU ( Bridge Protocol Data Unit， 
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网 桥 协议 数据 单元 ) 数据 帧 (图 2-25 )。 
由 实现 生成 树 协议 的 交换 机 所 构成 的 ， 可 能 会 发 生 桥接 环 的 网 络 结构 称 为 STP 拓扑 。 


EB 可。 BPDU 的 数据 帧 格式 
2 字 节 1 1 1 8 4 8 


2 2 2 2 2 
Protocol| Version Flags | Root Bridge | Port |MessagelMaximum| Hello | Forward 
0x00 NID ID ID Age Age Time | Delay 


STP 拓扑 内 的 交换 机 一 般 分 为 根 网 桥 和 非 根 网 桥 。( 表 2-13 、 图 2-26 ) 
根 网 桥 与 非 根 网 桥 


根 网 桥 ( root bridge ) 作为 生成 树 基 准点 的 交换 机 。 一 般 选 择 Bridge ID ( BID ) 最 低 的 交换 机 。BID 由 优先 级 
值 和 MAC 地 址 构成 。 当 优先 级 值 相 同时 ， 选 择 MAC 地 址 值 最 小 的 交换 机 充当 根 网 
桥 。 根 网 桥 每 间隔 2 秒 ( 也 称 为 Hello 时 间 ) 发 送 一 次 BPDU 数据 帧 


非 根 网 桥 ( non-root bridge ) | 参与 生成 树 的 交换 机 中 ， 除 了 根 网 桥 以 外 的 装置 













































































根 网 桥 与 非 根 网 桥 的 示例 
优先 级 值 最 小 或 相同 时 ，MAC 地 址 值 最 小 的 交换 机 成 为 根 网 桥 。 


根 交 换 机 a Bridge ID 
z A 
优先 级 值 : 32768 




















MAC 地 址 : 11:11:11:11:11:11 






人 





US 
Bridge ID 非 根 网 桥 


Bridge ID 
优先 级 值 : 32768 优先 级 值 ，32768 
MAC 地 址 ;22:22:22:22:22:22 MAC 地 址 ，33:33:33:33:33:33 


优先 级 数值 的 标准 有 IEEE 802.1D 和 扩展 的 IEEE 802.1t 两 种 方式 。 在 IEEE 802.1D 中 ， 每 
个 交换 机 的 优先 级 值 都 可 以 设 定 为 0~65535 (16bit ) 中 的 任意 一 个 数值 ， 默 认 值 为 32768。 而 
IEEE 802.1t 中 只 能 设 定 为 0~61440 (需要 在 32768 ( 0x8000 ) 前 加 上 VLAN 编号 ) 这 一 范围 中 
4096 的 倍数 。 
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根 网 桥 作为 发 送 源 ， 每 个 Hello 时 间 将 自身 的 MAC 地 址 和 01:80:C2:00:00:00 的 多 播 目 的 MAC 
地 址 通过 BPDU 数据 帧 发 送 到 STP 拓扑 内 的 所 有 交换 机 中 。 若 在 10 个 Hello 时 间 内 ， 也 就 是 20 
秒 内 没有 收 到 BPDU 数据 帧 ， 网 络 则 会 判断 STP 拓扑 内 发 生 了 故障 ， 将 重新 计算 生成 树 信息 。 
Hello 时 间 初 始 值 为 2 秒 , 但 也 可 以 将 该 值 设置 在 1~10 秒 之 间 。 
生成 树 中 的 端口 类 型 如 表 2-14 所 示 ， 每 个 种 类 的 端口 类 型 通过 如 图 2-27 所 示 的 过 程 来 选择 。 


生成 树 的 端口 类 型 







































































































































































根 端口 ( Root Port，RP ) 在 交换 机 所 有 的 端口 中 距离 根 网 桥 最 近 的 端口 。 和 根 网 桥 的 距离 不 是 通 
过 跳 数 ( hop ) 来 判断 ， 而 是 通过 通信 成 本 来 决定 的 。 一 台 非 根 网 桥 只 能 
有 一 个 根 端 

指派 端口 ( Designated Port，DP ) 导 个 网 段 ( 冲突 域 ) 指 派 一 个 端口 ， 是 离 根 网 桥 最 近 的 网 段 上 的 端口 。 根 
网 桥 交 换 机 上 的 所 有 端口 均 是 指派 端 

非 指派 端口 ( Non-Designated Port，DP ) | 阻塞 数据 帧 的 端口 ， 也 称 为 阻塞 端口 ( Blocking Port ) 


























根 端 口 ( RP )、 指 定 端口 ( DP )、 非 指定 端口 ( NDP ) 的 选择 


Bridge ID 
优先 级 值 ，32768 
MAC 地 址 ; 11:11:11:11:11:11 


民 网 桥 
ACE 


100Mbit/s Dp 1 
成 本 : 19 


RP 1 


下 







2 DP 10Mbit/s 
成 本 : 100 


NDP 1 








2 DP 100Mbit/s RP 2 
交换 HB 0 
Bridge ID Bridge ID 
优先 级 值 : 32768 优先 级 值 ，32768 


MAC 地 址 ，22:22:22:22:22:22“ 国正 骤 网 稀 MAC 地 址 ，33:33:33:33:33:33 








* 将 根 网 桥 ( 交换 机 A ) 上 所 有 的 端口 均 选 为 指派 端口 ( DP ) 

“从 非 根 网 桥 ( 交换 机 B、 交 换 机 C ) 的 所 有 端口 中 找 出 离 根 网 桥 最 近 ( 指 连接 的 成 本 
总 数 最 低 ) 的 端口 作为 根 端口 ( RP ) 

。 交换 机 C 从 端口 1 连接 到 根 网 桥 的 成 本 为 100， 而 从 端口 2 连接 到 根 网 桥 的 成 本 为 38 
( 19+19 ) ， 因 此 选择 端口 2 作为 RP 

“将 既 不 是 DP 也 不 是 RP 的 端口 作为 非 指派 端口 NDP 





















































































































































用 于 决定 根 端口 的 连接 成 本 如 表 2-15 所 示 ， 端 口 的 连接 速度 越 高 成 本 就 越 低 ， 也 就 越 容易 
成 为 根 端口 。 
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ES 决定 根 端口 的 成 本 
连接 速度 802.1D-1998 中 的 STP 成 本 802.1t2001 中 的 STP 成 本 
10Mbit/s 2,000,000 








100Mbit/s 200,000 
1Gbit/s 20,000 
10Gbit/s 2,000 




















在 生成 树 中 ， 交 换 机 各 个 端口 状态 的 迁移 过 程 如 表 2-16 所 示 。 在 默认 设置 下 ， 端 口 状态 
迁移 至 转发 (forwarding ) 状态 (收敛 ) 一 共 需 要 50 秒 。 也 就 是 说 在 交换 机 启动 后 ,或 者 因为 
故障 等 原因 导致 网 络 拓扑 变化 需要 重新 计算 生成 树 时 ， 将 会 有 50 秒 的 时 间 无 法 进行 数据 通信 
工作 。 

各 个 端口 的 状态 迁移 




















































































































是 否 学 习 
状 说 明 发 送 数据 帧 MAG pol: 默认 时 间 
1 | 阻塞 状态 交换 机 的 各 个 端口 默认 进入 20 秒 的 阻塞 状态 ，| 不 发 送 不 学 习 20 秒 ( 该 时 间 段 也 称 
( blocking ) 在 该 期 间 只 能 接收 BPDU 数据 帧 ， 不 能 发 送 和 接 为 max age， 范 围 是 
收 其 他 数据 帧 。 在 开启 电源 后 的 一 段 时 间 里 所 有 6~40 秒 ) 
端口 以 及 任何 时 刻 的 非 指派 端口 都 是 这 个 状态 






















































































2 | 侦 听 状态 能 够 发 送 或 接收 BPDU 数据 帧 ， 但 不 能 发 送 接收 | 不 发 送 不 学 习 15 秒 ( 该 时 间 也 称 为 

( Listening ) 其 他 数据 帧 的 状态 。 是 根 端口 和 指派 端口 向 转发 forward delay， 范 围 
状态 迁移 的 中 间 状 态 是 4~30 秒 ) 

3 | 学 习 状 态 能 够 发 送 或 接收 BPDU 数据 帧 、 接 收 其 他 数据 帧 | 不 发 送 学 习 15 秒 ( forward delay ) 



































(Learning ) 的 状态 。 从 接收 到 的 其 他 数据 帧 中 学 习 MAC 地 
址 信息 。 也 是 根 端 口 和 指派 端口 向 转发 状态 迁移 
的 中 间 状 态 











































































































4 | 转发 状态 可 以 发 送 或 接收 ( 传输 ) 其 他 数据 帧 发 送 学 习 
( Forwarding ) 
0 | 禁用 状态 生成 树 功能 无 效 时 的 端口 状态 ( 发 送 ) (学 习 ) 
( Disabled ) 
发 生 故 障 后 50 秒 内 通信 停止 会 导致 几乎 所 有 的 用 户 应 用 程序 超时 ， 还 可 能 带 来 其 他 各 种 通 


信 方 面 的 影响 ， 因 此 更 加 高 速 的 生成 树 收 敛 技 术 被 开发 出 来 。 


国 思科 公司 独 有 的 生成 树 扩展 功能 
首先 介绍 一 下 思科 公司 产品 独 有 的 生成 树 扩展 功能 ， 具 体内 容 如 表 2-17 所 示 。 
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PW》 思科 公司 生成 树 扩展 功能 
功能 名 称 说 明 
PortFast 在 收集 用 户 数据 的 接 入 交换 机 上 使 用 的 功能 。 与 用 户 的 个 人 计算 机 建立 了 有 效 链 路 的 交换 机 
端口 ， 通 过 PortFast 功能 可 以 立刻 迁移 到 转发 状态 。 若 链 路 失效 ， 那 么 从 链 路 断 开 到 重新 建 
立 ， 端 口 会 从 侦 听 状态 迁移 到 转发 状态 ， 期 间 耗 时 约 30 秒 
UplinkFast 同样 是 在 接 入 交换 机 中 使 用 的 功能 ， 当 接 入 交换 机 与 核心 交换 机 通过 两 根 宛 余 的 链 路 进行 
连 时 ， 若 其 中 1 条 链 路 发 生 故 障 ，UplinkFast 可 以 大 大 提 到 切换 到 另 1 条 链 路 的 速度 。 当 该 
功能 生效 时 ， 在 根 端口 链 路 发 生 故障 后 ， 另 一 个 端口 ( 阻塞 状态 端口 ) 立 刻 进 入 转发 状态 。 此 
时 ， 根 网 桥 无 法 继续 使 
当 发 生 故 障 时 ， 
根 端 UplinkFast 功 能 
链 路 断 会 立刻 启动 阻塞 
状态 端 
交换 机 阻塞 端口 一 根 端 
BackboneFast 检测 出 间接 链 路 发 生 的 故障 ， 使 状态 迁移 的 时 间 从 50 秒 缩短 为 30 秒 























国 RSTP 
2004 年 IEEE 802.1w 正式 定义 了 RSTP (Rapid Spanning Tree Protocol， 快 速生 成 树 协 议 )。 





最 初 的 生成 树 协议 在 1998 年 作为 IEEE 802.1D 就 完成 了 标准 化 ， 而 RSTP 则 在 随后 以 IEEE 





802.1D-2004 的 标准 形式 完成 了 标准 化 工作 。 
在 RSTP 中 ， 端 口 状态 的 收敛 只 需 1 秒 。 
RSTP 中 的 端口 类 型 与 STP 定义 的 稍 有 不 同 ，STP 中 的 非 指派 端口 在 RSTP 中 被 分 为 了 替换 
端口 和 备用 端口 ( 表 2-18 )。 


ES RSTP 的 端口 类 型 


































































































































































































根 端 口 ( RP，root port ) 交换 机 中 离 根 网 桥 最 近 的 端口 ( 与 STP 相同 ) 

指派 端口 ( DP，designated port ) 离 根 网 桥 最 近 的 网 段 上 的 端口 (与 STP 相同 ) 

替换 端口 ( AP，alternate port ) 除了 根 端口 以 外 连接 根 网 桥 成 本 最 低 的 端口 ， 提供 连接 根 网 桥 的 备用 路 径 ， 
一 般 处 于 阻塞 状态 

备份 端口 ( BP，backup port ) 指派 端口 所 连接 的 网 段 中 同时 连 有 另 一 个 端口 ， 那 么 这 个 端口 就 可 以 作为 指派 
端口 的 备份 ， 一 般 也 处 于 阻塞 状态 
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BB RSTP 的 端口 选举 范例 






根 网 桥 

















E 沁 IJ RSTP 端口 状态 
STP 端口 状态 RSTP 端口 状态 说 明 
禁用 状态 
阻塞 状态 状态 丢弃 流入 端口 的 数据 帧 ， 不 学 习 MAC 地 址 























侦 听 状态 
学 习 状 态 学 习 状 态 虽然 丢弃 流入 端口 的 数据 帧 ， 但 学 习 MAC 地 址 


转发 状态 状态 根据 流入 端口 的 数据 帧 以 及 学 习 的 MAC 地 址 信息 
进行 转发 
























































在 STP 协议 中 ， 根 网 桥 生 成 BPDU 数据 帧 ， 其 他 网 桥 (交换 机 端口 ) 通过 转发 BPDU 数据 
帧 来 进行 状态 迁移 、 完 成 收敛 。 而 在 RSTP 协议 中 ， 所 有 的 网 桥 均 会 生成 BPDU 数据 帧 ， 并 同 
相 邻 的 交换 机 进行 握手 ( Handshake )。 双 方 交 换 机 通过 握手 ， 从 交换 的 提议 ( Proposal ) BPDU 
数据 帧 中 获取 对 方 的 BPDU 优先 级 信息 并 进行 比较 ， 选 出 根 网 桥 和 根 端口 后 由 根 端口 发 送 同 意 
( Agreement ) BPDU 数据 帧 ， 至 此 交换 机 间 的 握手 才 算 完 成 。 

随后 ，BPDU 数据 帧 会 以 Hello 时 间 (默认 是 2 秒 ) 为 间隔 连续 发 送 ， 当 对 方 在 3 个 时 间 间 
隔 内 没有 发 送 BPDU 数据 帧 时 ， 网 络 会 判断 该 链 路 已 经 失效 。 所 以 在 RSTP 协议 中 ， 只 需要 6 秒 
即 可 检测 出 链 路 发 生 故 障 。 

另外 ，RSTP 可 以 向 下 兼容 STP， 因 此 使 用 RSTP 的 交换 机 与 使 用 STP 的 交换 机 能 够 在 同一 
个 STP 网 路 拓扑 中 共存 。 但 这 时 ，RSTP 无 法 进行 高 速 收敛 。 








男 其 他 生成 树 
表 2-20 总 结 了 各 种 VLAN 中 使 用 了 生成 树 的 协议 。 
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STP、RSTP 以 外 的 生成 树 





































































































































































































名 称 说 明 

CST ( Common Spanning Tree ) 多 个 VLAN 仅 设 置 了 1 个 STP 生成 树 。 由 IEEE802.1Q ( 根据 VLAN 标 
签 进行 链 路 聚集 ) 定 义 

PVST ( Per-VLAN Spanning Tree ) 思科 公司 特有 的 协议 ， 能 够 在 每 个 VLAN 中 分 别 设置 STP 生成 树 。 在 
交换 机 之 间 使 用 该 公司 的 |SL ( Inter-Switch Link ) 进 行 链 路 聚集 

PVST+ ( Per-VLAN Spanning Tree Plus ) 在 PVST 与 CST 混合 的 环境 下 也 可 使 用 ， 能 够 对 应 多 个 VLAN 的 生成 树 

RPVST+ ( Rapid Per-VLAN Spanning Tree Plus ) | 可 以 对 每 个 VLAN 都 分 别 设置 RSTP 的 生成 树 

MST ( Multiple Spanning-Tree，IEEE802.1s ) | 定义 于 2003 年 ， 合 并 到 |EEE802.1Q-2005 的 生成 树 。 和 RSTP 一 起 工 
作 ， 能 通过 1 个 BPDU 管理 多 个 VLAN 














02.08.04” 链 路 聚合 


使 用 链 路 聚合 ( Link Aggregation ) 的 方法 能 够 将 多 条 交换 机 物理 线路 ( 端口 ) 汇聚 成 单条 字 
辑 线路 (聚合 链 路 ) 在 网 络 中 使 用 。 物 理 接口 的 聚合 有 多 种 称呼 : 端口 聚集 (port trunking )、 链 
路 捆绑 (link bundling )、 绑 定 (bonding )、 组 队 (teaming ) 等 等 。 


国 EtherChannel 

在 思科 公司 的 IOS 及 CatOS 中 , EtherChannel 功能 就 是 一 种 链 路 聚合 。 该 功能 将 聚合 的 物 
理 端 口 根据 其 速率 情况 ， 分 为 FEC ( Faster Ethernet Channel， 多 个 快速 以 太 网 线路 聚合 )、GEC 
( Gigabit Ethernet Channel， 多 个 千 兆 以 太 网 线路 聚合 )、10GEC ( 10Gigabit Ethernet Channel， 多 
个 万 兆 以 太 网 线路 聚合 ) 等 多 个 聚合 类 型 ， 每 个 类 型 可 以 聚合 2~8 个 端口 。 

例如 ， 两 台 交 换 机 各 有 3 个 千 兆 以 太 网 端口 ， 将 每 台 交 换 机 的 端口 聚合 成 1 条 逻辑 线路 
( GEC )， 交 换 机 之 间 便 可 进行 最 大 3Gbit/s 速率 的 连接 。 这 时 ， 即 使 3 条 物理 线路 断 开 了 任意 一 
条 ， 由 于 逻辑 线路 还 有 两 条 在 维持 ， 因 此 通信 也 不 会 中 断 ， 达 到 了 线路 元 余 的 效果 。 

如 果 不 使 用 链 路 聚合 功能 ， 而 是 直接 将 交换 机 上 的 多 个 物理 端口 连接 起 来 ， 可 能 会 导致 桥接 
环 的 发 生 。 知 是 使 用 生成 树 协议 ， 又 会 避 开 某 些 链 路 ， 导 致 只 有 1 条 物理 链 路 可 供 使 用 。 

如 上 文中 提 到 的 将 3 条 物理 线路 聚合 的 例子 ， 在 交换 机 具体 实现 后 ， 参 考 以 太 网 数据 帧 中 的 
MAC 地 址 或 数据 帧 有 效 载荷 中 IP 首部 内 的 IP 地 址 信息 ， 还 可 以 选择 使 用 哪 根 具体 的 物理 链 路 
来 传输 数据 帧 。 









































国 IEEE 802.3ad/IEEE 802.1AX 
IEEE 802.3ad 是 2000 年 3 月 制定 的 关于 链 路 聚合 的 标准 。 该 标准 和 之 后 在 2008 年 制定 的 


IEEE 802.1X 出 现 了 分 层 关系 上 的 冲突 ， 于 是 又 经 802.1 工作 组 再 度 修 改 ， 最 终 以 IEEE 802.1AX- 
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2008 的 形式 再 次 发 布 。 


该 标准 也 被 称 为 LACP (Link Aggregation Control Protocol， 链 路 聚合 控制 协议 )。 使 用 LACP 
协议 可 以 完成 交换 机 之 间 设 备 、 端 口 状态 和 链 路 设置 等 信息 ， 但 有 些 事项 需要 注意 ， 有 具体 内容 如 
表 2-21 所 示 。 


Ez 和 DD ”IEEE 802.3ad 的 注意 事项 





























































































































只 能 用 于 相同 传输 媒介 之 间 例如 ， 只 能 在 1000BASE-T 中 使 用 ， 而 无 法 在 1000BASE-T 与 1000BASE-SX 
线路 中 混 
只 能 使 用 全 双 工 通信 方式 链 路 聚合 不 支持 半 双 工 通信 方式 
只 能 使 用 点 到 点 的 方式 当 连 接 多 台 设 备 时 ， 无 法 适用 点 到 多 点 的 拓扑 结构 ， 只 能 在 成 对 儿 的 两 台 机 器 
之 间 通 信 
国 PAgP 
PAgP ( Port Aggregation Protocol， 端 口 聚合 协议 ) 是 思科 公司 的 杜 有 协议 ， 通 过 该 协议 思科 


公司 交换 机 之 间 的 链 路 聚合 能 够 自动 生成 。 交 换 机 通过 那些 成 为 聚合 链 路 的 端口 来 交换 
PAgP 分 组 、 识 别 相 邻 交换 机 和 获得 聚合 方面 的 信息 。 








02.08.05 VLAN 





将 广播 域 分 制 成 一 个 个 逻辑 网 段 的 功能 称 为 VLAN ( Virtual LAN 的 简称 )。 关 于 VLAN 的 信 


02.08.06 “端口 镜像 


将 某 个 端口 收发 到 的 以 太 网 数据 帧 复制 到 镜像 端口 ( Mirroring Port ) 上 进行 发 送 的 功能 叫做 
端口 镜像 ( Port Mirroring ) ( 图 2-29 )， 被 复制 的 源 端口 称 为 监控 端口 ( Monitor Port )。 

为 了 分 析 网 络 故障 或 检测 网 络 中 的 通信 流量 信息 ， 交 换 机 会 将 收 到 的 数据 帧 复制 一 份 并 转发 
到 LAN 分 析 器 (也 称 为 噢 探 吉 、 分 组 分 析 锅 、 网 络 分 析 器 ) 或 流量 监控 设施 中 。 

如 果 使 用 的 是 中 继 器 ， 在 某 个 端口 接收 到 数据 帧 时 ， 需 要 将 该 数据 帧 复制 并 转发 到 其 他 所 有 
端口 。 而 交换 机 则 会 根据 数据 帧 发 送 源 的 MAC 地 址 ， 完 成 MAC 地 址 表 (转发 表 ) 的 记录 ， 通 
过 学 习 MAC 地 址 将 数据 帧 只 发 送 到 目的 地 MAC 地 址 所 对 应 的 端口 中 去 。 这 时 ， 如 果 需 要 侦 测 
发 送 到 其 他 端口 的 通信 数据 ， 就 需要 使 用 端口 镜像 这 一 功能 
思科 公司 的 Catalyst 系列 交换 机 所 使 用 的 端口 镜像 功能 称 为 SPAN ( Switched Port Analyzer， 
交换 端口 分 析 融 )。 
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端口 镜像 的 构成 


等 经 过 指定 端口 的 
据 帧 复制 并 转发 至 
他 端口 的 功能 。 有 
交换 机 产品 可 以 通 
设置 将 自身 的 普通 部 


作为 镜像 端 


LAN 交 换 机 

















































3 4 
a Py 

































谷 生 区 上 长 料 举 














































































































































0 使 
、 人 @ 复制 EE 用 ， 也 有 些 产品 自 带 
， 和 用 的 物理 镜像 端 




































互联 网 公司 LAN 


收据 抽奖 计算 机 
将 复制 的 数据 帧 重组 并 通 























过 专用 应 用 程序 分 析 








02.08.07 QoS 优先 级 队列 


QoS 是 Quality of Service 的 缩写 ， 也 称 为 服务 质量 。 这 是 一 个 为 了 保障 高 稳定 和 低 延 迟 的 网 
人 束 率 ， 当 数据 通过 网 络 硬件 时 ， 根 据 其 通信 种类 控制 通信 优先 级 和 带宽 的 功能 。 一 般 而 

， 将 主干 通信 业务 、 声 音 、 影 像 等 数据 的 通信 定义 为 优先 级 较 高 以 便 它们 能 得 到 优先 处 理 ， 同 
时 将 这 类 业务 通信 的 时 延 、 拌 动 等 降 至 最 低 。 

除了 交换 机 在 L2 上 进行 的 QoS 控制 以 外 ， 还 有 路 由 器 以 及 1L3 交换 机 进行 的 L3 (IP) 的 
QoS 控制 以 及 TCP 进行 的 L4 的 QoS 控制 。 

IEEE802.1p 标准 完成 了 对 L2 的 QoS 优先 级 控制 的 标准 化 工作 。 

由 于 IEEE802.1Q 标准 对 VLAN 中 的 VLAN 标签 (扩展 MAC 首部 ) 提供 了 3bit 长 度 的 PCP 
( Priority Code Point ) 优先 级 控制 符 ， 因 此 L2 的 QoS 控制 同样 适用 于 VLAN 环境 。 
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ER 中 VLAN 的 优先 级 别 信息 
@ 包 含 VLAN 标 签 信息 的 MAC 扩 展 数据 帧 














错误 


检测 























6 字 节 ”6 字 节 2 字 节 2 字 节 46 一 1500 字 节 4 字 节 


Tag Control Information 


优先 级 | GFI| VLAN ID ( VLAN 标 识 符 ) 





3bit 1bit 12bit 





目前 ，IEEE 802.1p 已 经 被 并 人 到 IEEE 802.1D-2004 (IEEE 802.1D 是 包含 了 生成 树 算法 的 
MAC 桥接 标准 ) 标准 中 。 

IEEE 802.1p 支持 GARP ( Generic Attribute Registration Protocol， 通 用 属性 注册 协议 ) 以 及 
能 够 通过 GARP 协议 将 主机 或 网 桥 拥 有 的 多 播 地 址 通知 给 其 他 网 桥 的 GMRP (GARP Multicast 
Registration Protocol， 多 播 注 册 协 议 ) 协议 。 

通过 3bit 的 优先 级 控制 信息 ， 可 以 定义 从 0 到 7 的 8 个 优先 级 ( 即 CoS 值 ，Class of Service 
值 ， 服 务 等 级 值 )， 交 换 机 会 优先 发 送 该 值 较 大 的 数据 帧 。 





02.08.08 ”MAC 地 址 过 滤 

















为 了 网 络 安全 ， 只 让 网 络 完成 满足 指定 条 件 的 通信 过 程 的 功能 称 为 通信 过 滤 2 功能 。 

有 的 L2 交换 机 可 以 提供 基于 以 太 网 数据 帧 的 首部 信息 进行 通信 过 滤 的 功能 。 具 体 而 言 ， 就 
是 事先 设置 一 定 的 过 滤 条 件 ， 如 目的 地 MAC 地 址 、 发 送 源 MAC 地 址 、 类 型 域 信息 等 ， 在 通信 
时 只 让 满足 条 件 的 数据 帧 通过 ， 阻 挡 其 他 不 满足 条 件 的 数据 帧 。 

由 于 不 同 的 个 人 计算 机 会 带 有 不 同 的 MAC 地 址 ， 所 以 公司 网 络 还 可 以 通过 MAC 过 滤 功 能 ， 
只 允许 在 公司 管理 范围 内 的 计算 机 访问 公司 的 LAN (图 2-31)。 另外， 考虑 到 可 能 还 会 有 伪造 
MAC 地 址 的 情况 发 生 ， 所 以 需要 将 MAC 地 址 过 滤 和 更 为 严格 的 LAN 接 入 控制 认证 协议 IEEE 
802.1X (参考 02.08.09 ) 一 同 使 用 。 

L3 交换 机 或 路 由 器 带 有 可 以 根据 IP 首部 信息 完成 IP 通信 过 滤 的 功能 ， 不 过 有 些 L2 交换 机 
也 同样 带 有 IP 过 滤 的 功能 。 

MAC 地 址 过 滤 也 是 在 无 线 LAN 的 接 入 点 中 经 常 使 用 的 功能 。 


















































QD 英语 为 filtering。 一 一 译 者 注 
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2 MAC 过 滤 的 构造 







只 有 发 送 源 MAC 地 址 一 致 时 
才 人 允许 接 入 网 络 





11:22:33:bb:cc:dd 


O 


11:22:33:cc:dd:ee 


注册 MAC 地 址 信息 | 
11:22:33:bb:cc:dd 
11:22:33:cc:dd:ee 


















02.08.09 基于 端口 的 认证 





在 支持 基于 端口 认证 的 交换 机 中 ， 通 过 认证 的 客户 端 才 被 允许 使 用 交换 机 的 端口 。 该 功能 
经 由 IEEE 802.1X 完成 了 标准 化 。IEEE 802.1X 标准 是 于 2001 年 以 “Port Base Network Access 
Control (基于 端口 的 网 络 访问 控制 光 为 名 发 布 的 标准 协议 ， 提 供 了 对 接 入 LAN 的 客户 端 ( 个 人 
计算 机 ) 进行 认证 的 一 系列 机 制 。 

该 认证 协议 常用 于 客户 端 在 接 人 无 线 LAN 接 人 点 时 的 认证 工作 。 但 在 支持 IEEE 802.1X 认 
证 的 交换 机 上 同样 可 以 实现 接 人 有 线 LAN 的 认证 工作 。 

在 有 线 LAN 中 ， 当 与 交换 机 相连 的 以 太 网 线 缆 连 接 到 个 人 计算 机 时 ， 认 证 过 程 开 始 启 动 。 
根据 发 送 方 的 MAC 地 址 信息 进行 客户 端 识 别 ， 通 过 用 户 名 、 口 令 或 证 书 等 认证 信息 进行 用 户 认 
证 。 对 于 没有 认证 的 客户 端 发 来 的 数据 帧 ， 交 换 机 只 保存 包含 了 认证 所 需 信 息 的 数据 帧 ， 其 余 全 
部 丢弃 。 而 对 于 认证 失败 的 客户 端 发 来 的 数据 帧 ， 交 换 机 则 直接 丢弃 不 会 转发 到 其 端口 上 。 

表 2-22 列举 了 IEEE802.1X 的 3 个 构成 要 素 。 
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IEEE 802.1X 的 构成 要 素 
要 素 说 明 


证 请 求 者 ( supplicant ) 在 客户 端 所 属 的 个 人 计算 机 上 安装 的 IEEE 802.1X 认证 的 功能 实体 ( 软件 )。 
在 Windows XP/Vista/7 以 及 MAC OS X 操作 系统 中 内 置 了 该 功能 实体 。 与 
Windows 中 的 EAP-MD5、EAP-TLS、PEAP 相对 应 ， 与 MAC OS X 中 的 EAP- 


















































TLS、EAP-FAST、EAP-TTLS、LEAP、PEAP "相对 应 
证 方 ( authenticator ) 在 IEEE 802.1X 中 对 应 的 交换 机 或 无 线 LAN 访问 接 千 认证 请 求 方 和 认证 服 
务 器 之 间 转 播 认证 消息 
证 服务 器 ( authentication server ) | 对 认证 请 求 方 进行 认证 的 服务 器 ， 通 常 使 用 RADIUS 服务 器 































































































若 想 进行 基于 端口 的 认证 ， 客 户 端 所 属 电脑 与 交换 机 双方 都 必须 预先 设置 成 支持 使 用 IEEE 
802.1X 进行 认证 。 只 有 客户 端 支持 是 无 法 使 用 IEEE 802.1X 的 ， 但 仍 可 以 无 条 件 使 用 所 有 交换 机 
端口 。 相 反 ， 如 果 只 有 交换 机 支持 ， 客 户 端 则 不 能 使 用 交换 机 的 任何 端口 。 

IEEE 802.1X 认证 中 使 用 了 PPP (Point to Point ne 点 对 点 协议 ) 的 扩展 协议 EAP 
(Extensible Authentication Protocol， 可 扩展 认证 协议 )， 通 过 EAPOL ( Extensible Authentication 
Protocol OverLAN， 局 域 网 的 扩展 认证 协议 ) 人 EAP 认证 消息 ， 然 后 在 LAN 中 进行 传 
递 。 认 证 结束 之 前 ， 客 户 端 所 属 的 个 人 计算 机 无 法 进行 EAPOL 以 外 的 通信 。 


县 殉 IEEE 802.1X 基于 端口 认证 的 流程 

















| 


















































认证 请 求 方 认证 方 认证 服务 器 
[| 人 
EAP EAP[FaduslUDP[ PTEmer | 
于 认证 的 支持 IEEE 802.1X sp 
客 = 庙 软 件 的 交换 机 RADIUS 服 务 器 





(人 EAPOL-Start 





(© EAP-Request/identity 





(3) EAP-Response/identity (3) RADIUS 请 求 





>| 
(4) EAP-Request/OTP (4 RADIUS Access Challenge 


(©) EAP-Response/OTP G@) RADIUS Access 请 求 


(6) EAP Success (6) RADIUS Access 接收 








EAP Logoff 


无 认证 端口 








QD” 这些 都 是 操作 系统 





译 者 注 
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02.08.10 网络 管理 


国 SNMP 
远程 管理 、 监 视 和 设置 网 络 硬件 可 以 使 用 SNMP ( Simple Network Management Protocol， 简 
单 网 络 管理 协议 ) 协议 。 使 用 SNMP 协议 能 够 从 远 处 对 整个 网 络 组 织 结构 内 安装 的 交换 机 和 其 
他 网 络 硬件 进行 集中 统一 的 管理 。 
被 SNMP 管理 的 网 络 设施 称 为 代理 者 (agent ), 管理 网 络 的 设施 则 称 为 管理 者 ( manager ) "。 
能 够 使 用 SNMP 代理 和 RMON 功能 的 交换 机 称 为 智慧 ( Intelligent ) 交换 机 。 
使 用 SNMP 进行 网 络 管理 的 思 


SMIv1 或 SMIv2 的 形式 | 


MIB、MIB-Il ( 标准 MIB ) 
私有 MIB ( 扩展 MIB ) 


SNMP ( UDP 端 口 161 ) 路 由 器 
| | = 防火 墙 

SNMP 陷 阱 (UDP 端口 162 ) Cs 
ey 交换 机 






















































































SNMP 管 理 者 SNMP 代 理 者 
( 管理 工作 站 ) ( 管理 对 象 节点 ) 











SNMP 协议 分 为 版 本 1、 版 本 2 和 版 本 3 ( 表 2-23 )。 
SNMP 版 本 





版 本 RFC 说 明 











SNMPv1 RFC1157 在 RFC1157 中 定义 了 整个 协议 的 内 容 ， 在 RFC1066 中 定义 了 MIB 信息 ， 在 RFC1213 
中 定义 了 MIB-l 的 相关 内 容 。 
定义 了 GetRequest、GetNextRequest、GetResponse、SetRequest 和 Trap 五 种 
消息 (PDU，Protocol Data Unit， 协 议 数 据 单元 )。 该 版 本 是 最 初 的 SNMP 协议 ， 
community “信息 的 交互 使 用 明文 、 安 全 性 较 弱 ， 因 此 已 经 很 少 使 
SNMPv2 | RFC1441~1452 | 添加 了 GetBulkRequest 消息 ， 能 够 更 加 快速 地 获取 多 个 MIB 信息 。 因 为 改善 了 
SNMPv1 中 的 安全 性 问题 并 扩展 了 协议 而 得 到 标准 化 ， 但 由 于 安全 功能 过 于 复杂 ， 也 
没有 在 大 范围 内 使 
SNMPv2c | RFC1901~1908 | 和 SNMPv1 一 样 使 用 community 进行 网 络 管理 ，community 信息 的 交互 同样 也 使 用 
了 明文 。 添 加 了 Inform 消息 ， 使 管理 者 之 间 可 以 通信 并 交换 信息 
SNMPv2u | RFC1909、1910 | 简化 了 SNMPv2 的 复杂 性 ， 采 取 了 比 SNMPv1 更 安全 的 基 的 SNMP 管理 方式 。 
SNMPv3 在 安全 方面 继承 了 该 版 本 的 一 部 分 内 容 






































































































































































































































































































































四 这 是 SNMP 中 网 络 管理 的 抽象 概念 。 译 者 注 
@@ ”SNMP 协议 中 表示 网 络 设备 团体 名 称 的 一 个 数据 结构 ， 具 体内 容 可 参考 后 文 关于 “团体 ”的 说 明 。 














译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 











02.08 ”交换 机 搭载 的 其 他 功能 | 103 





RFC 说 明 


RFC3411~3418 | 2002 年 成 为 了 RFC 的 标准 之 全 本 功能 司 SNMPv2c 没有 本 质 的 差异 ， 但 是 不 再 使 
community， 而 是 使 用 了 以 用 户 为 单位 进行 口令 认证 的 方式 ， 即 USM 方式 ( User- 
based Security-Model， 盐 的 安全 模型 )。 其 中 口令 使 用 MD5 或 SHA 的 哈 希 值 
进行 交互 ， 协 议 数据 同样 可 以 使 用 密 文 存 取 。 该 版 本 是 目前 广泛 使 用 的 SNMP 版 本 

可 以 选择 以 下 安全 级 别 。 







































































































































































































































































noAuthNoPriv ( 不 认证 、 明 文 ) 不 认证 ， 使 用 明文 保存 数据 
authNoPriv ( 认证 、 明 文 ) 认证 ， 使 用 明文 保存 数据 
authPriv ( 认证 、 密 文 ) 认证 ， 使 用 密 文保 存 数据 


同时 还 拥有 VACM ( View based Access Control Model， 基 于 视图 的 访问 控制 模型 
能 ， 该 功能 定义 了 每 个 用 户 能 够 访问 的 MIB 范围 。 在 VACM 二 能 够 访问 的 MI 
围 称 为 上 下 文 ( context )， 该 上 下 文通 过 其 在 整个 SNMP 空间 内 的 唯一 命名 一 一 | 
下 文 名 ( contextName )， 和 一 个 管理 域内 唯一 的 contextEnginelD 进行 识别 。 在 该 
文 参数 的 交互 上 添加 了 scoped 消息 。 此 外 ， 还 添加 了 maxSizeResponseScoped 消 
息 用 于 告知 scoped 消息 发 送 方 能 够 发 送 的 最 大 消息 长 度 是 多 少 

































































































































































































































































SNMP 协议 使 用 UDP 的 161 端口 进行 数据 的 通信 上， 这 是 由 于 TCP 需要 建立 连接 才能 完成 
通信 2 并 不 适合 用 于 紧急 数据 通信 的 情况 。 而 UDP 无 需 建立 连接 , 可 以 随时 发 送 数 据 , 符合 
SNMP 的 应 用 要 求 ， 所 以 SNMP 使 用 了 UDP 通信 方式 。SNMP 陷阱 消 息 使 用 UDP 的 162 端口 进行 
数据 的 通信 。SNMP 陷阱 消息 是 指 像 通信 设备 的 电源 坏 了 1 个 或 CPU 使 用 率 超过 了 90% 这 样 
的 ， 即 使 管理 者 没有 要 求 ， 代 理 者 也 会 自动 发 送 的 警告 消息 。 

SNMP 管理 者 与 SNMP 代理 者 之 间 使 用 的 SNMP 交互 消息 ,包含 了 SNMP 版 本 、 
community 名 称 、PDU ( Protocol Data Units， 协 议 数据 单元 ) 等 信息 。PDU 是 SNMP 的 指令 数 
据 ， 大 致 内 容 如 表 2-24 所 示 。 


SNMP 中 使 用 的 PDU 


PDU 说 明 
Get-Request P 管理 者 为 了 获取 ( 读 取 ) 数 据 向 SNMP 代理 者 发 出 的 请 求 消息 。 使 用 UDP 的 161 端 
SNMP 代理 者 处 。 发 送 源 端口 取 适 当 的 值 
Get-Response 当 SNMP 代理 者 收 到 SNMP 管理 者 的 Get-Request 消息 后 ， 返 回 给 管理 者 的 应 答 消息 。 
UDP 的 161 端口 作为 发 送 源 端口 ， 而 目的 端口 则 是 Get-Request 消息 中 携带 的 发 送 源 端 
Get-Next-Request P 管理 者 收 到 Get-Request 消息 并 从 中 获取 MIB 信息 后 ， 想 要 得 到 下 一 项 目 信 息 时 EF 
P 代理 者 发 送 的 请 求 消息 。 代 理 者 同样 Get-Response 作为 该 消息 的 应 答 
Set-Request 想 要 更 改 通 信 设 备 的 设置 时 P 管理 者 会 向 SNMP 代理 者 发 送 Set-Request 消息 。 使 
的 UDP 端口 号 作为 目的 端 代理 者 使 用 Get-Response 消息 应 答 
Trap SNMP 管理 者 从 SNMP 代 白 动 收 到 的 紧急 消息 ，f UDP 的 162 号 端 




























































































































































































































































































































































































































































































































































































中 这 里 的 端口 是 指 软 端口 ， 即 在 传输 层 上 使 用 的 用 于 表示 进程 间 通 信 的 软件 端口 。 





译 者 注 
@) 建立 连接 TCP 的 成 本 也 比较 高 。 在 网 络 条 件 较 好 的 情况 下 ，UDP 通信 的 可 靠 性 会 上 升 很 多 ， 而 且 更 为 便捷 。 





译 者 注 
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e 团体 

SNMP 协议 中 有 一 个 名 为 团体 (community ) 的 概念 。 只 有 携带 同样 团体 名 称 的 SNMP 代理 
者 与 SNMP 管理 者 之 间 才 能 进行 SNMP 消息 交互 ， 因 此 团体 也 可 以 视 作 是 二 者 之 间 进 行 交 互 的 
一 种 口令 ( password )。 

团体 可 以 分 为 读 取 用 (Read-Only， 在 Get-Request 消息 中 使 用 )、 读 写 用 (Read-Write, 在 
Set-Request 消息 中 使 用 ) 以 及 Trap 用 ， 可 以 根据 需要 自 定义 团体 名 称 。 读 取 用 团体 的 命名 几乎 
都 会 默认 使 用 “public” 文 字 序列 。 

团体 名 称 可 以 使 用 明文 进行 通信 交互 ， 但 有 时 不 仅仅 是 团体 名 称 ， 整 个 SNMP 通信 信息 都 
可 以 在 网 络 中 使 用 明文 进行 通信 ， 这 一 点 需要 注意 。 

不 过 SNMPv3 不 再 使 用 团体 名 称 而 是 使 用 以 用 户 为 单位 的 口令 认证 。 
























































eMIB 

网 络 硬件 中 会 使 用 很 多 类 型 的 配置 参数 来 完成 对 设备 管理 ， 如 接口 和 协议 的 设置 信息 等 。 在 
SNMP 中 这 类 信息 通过 MIB ( Management Information Base, 管理 信息 库 ) 这 个 数据 库 了 来 进行 
理 。MIB 数据 库 采 用 树 形 结构 ， 其 中 的 信息 来 自 设 备 制造 厂商 提供 的 相关 文本 文件 。 例 如 ，MIB 
使 用 下 述 定 义 的 结构 来 表示 从 接口 处 收 到 的 通信 流量 字 节 ( 用 八进制 表示 )。 








zt 











sysContact OBJECT-TYPE 

SYNTAX Displaystring (SIZE (0..255)) 

ACCESS read-write 

STATUS mandatory 

DESCRIPTION 
"The textual identification of the contact person 
for this managed node,together with information 
on how to contact this person." 


::= { system 4 } 





上 面 列 出 的 代码 是 从 MIB-II 标准 文件 中 摘出 的 一 段 ， 它 使 用 了 一 种 称 为 ASN.1 ( Abstract 
Syntax Notation One， 抽 象 语法 标记 1 ) 的 定义 语法 来 描述 ,除了 SNMP 的 MIB 之 外 ,还 可 以 
使 用 数字 签名 或 Kerberos、LDAP 等 认证 协议 。ASN.1 在 ISO8824 标准 文件 中 进行 了 标准 化 ， 编 
码 方式 (符号 化 ) 在 ISO8825 文件 中 可 查 。 

MIB 的 文本 文件 一 般 会 按照 分 类 进行 描述 ，1 个 通信 设备 一 般 会 用 到 几 十 个 MIB 文件 。 
MIB 文件 的 分 类 如 表 2-25 所 示 ， 分 为 接口 用 、IP 用 、TCP 用 、BGP 用 等 ， 总 体 分 为 RFC 定义 
































中 这 里 的 数据 库 仅 仅 是 指 一 种 数据 的 管理 方式 ， 同 关系 型 数据 库 没 有 任何 关系 。 译 者 注 
@ ASN.1 多 用 于 描述 异种 系统 之 间 进 行 通信 的 消息 格式 ， 也 是 用 BNF 符号 。 译 者 注 
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的 标准 MIB 和 各 厂商 独自 定义 的 私有 MIB 两 类 。 











02.08 ”交换 机 搭载 的 其 他 功能 | 105 





标准 MIB 文件 分 为 由 RFC1156 定义 的 MIB-I[， 和 由 RFC1213 定义 的 MIB-II， 有 目前 广泛 使 用 
的 是 MIB-II。MIB 文件 的 格式 则 分 为 由 RFC1215 定义 的 SMIvl1 和 由 RFC2578 定义 的 SMIV2 两 
种 (SMI 是 Structure of Management Information 的 缩写 ， 意 为 管理 信息 结构 )。 


标准 MIB 

















































































































名 称 说 明 
system 与 设备 有 关 的 信息 
interfaces 与 接口 有 关 的 信息 
at 与 ARP 有 关 的 信息 
ip IP 信息 
ipAddrTable 与 IP 地 址 有 关 的 IP 寻 址 表 信 息 
ipRouteTable IP 路 由 表 相 关 信 息 
ipNetToMediaTable IP 地 址 转换 表 相 关 信 息 
ipForward IP 转发 表 相 关 信 息 
icmp ICMP 信息 
cp TCP 信息 
udp UDP 信息 
egp EGP 
ppp PPP 信息 
frame-relay 帧 中 继 信息 
snmp SNMP 信息 
ospfGeneralGroup OSPF 信息 





ospfAreaTable 


OSPF 中 与 区 域 有 关 的 信息 








ospfStubAreaTable 




















壬 区 域 边缘 路 由 器 中 用 二 


F stub area 广播 的 信息 






































在 
在 OSPF 过 程 中 表示 连接 状态 的 数据 库 信息 
路 




















































































































ospfLsdbTable 

ospfAreaRangeTable 器 连接 区 域内 的 地 址 范围 信息 
ospfflfTable 路 由 器 连接 的 接口 信息 
ospflfMetricTable 各 个 接口 的 服务 类 型 信 

bgp BGP 信息 

bgpPeerTable bgp Peer 信息 

bgpPathAttrTable 从 BGP4 中 接收 的 路 径 信 息 

ifMIB 接口 的 扩展 信息 











在 MIB 文件 中 管理 的 信息 称 为 托管 对 象 ( Object )， 其 中 包含 了 接口 的 IP 地 址 、 路 由 协议 的 


设置 情况 等 信息 。 
托管 对 象 都 有 属 了 











F 自 己 的 分 类 ， 如 接口 的 相关 信息 、 





OSPF 的 相关 信息 、 传 感 器 ( CPU 或 温 
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控 管理 ) 的 相关 信息 等 。 

私有 MIB 一 般 会 将 各 类 别 的 MIB 信息 导入 扩展 名 为 “.my” 的 纯 文 本 文件 中 ， 然 后 公布 在 
制造 厂商 的 Web 站 点 上 ， 一 般 会 有 像 attack.my、senser.my 这 样 的 多 个 分 散文 件 ， 所 以 会 以 归档 
文件 (将 所 有 分 散 的 文件 压缩 成 一 个 zip 包 ) 的 形式 公布 。 

如 果 使 用 了 某 厂商 的 路 由 器 设备 ， 当 想 要 查询 该 路 由 器 私有 MIB 时， 就 可 以 打开 该 厂商 的 
Web 站 点 ， 下 载 该 路 由 器 所 使 用 的 MIB 信息 文件 (zip 格式 )， 然 后 将 其 注册 到 SNMP Manager 
中 ， 即 可 使 用 该 SNMP 文件 中 提 到 的 托管 对 象 名 管理 网 络 硬件 。 

















e OID 

MIB 是 所 有 托管 对 象 的 集合 ， 而 托管 对 象 使 用 OID ( Object ID ， 对 象 标识 ) 进行 区 分 。MIB 
采用 树 形 构造 ，OID 则 采用 如 1.3.6.1.2.1.1 这 样 数字 与 点 的 形式 来 描述 。 该 记 法 按照 从 左 到 右 的 
顺序 阅读 ， 如 iso (1) 中 的 org (3) 中 的 dod (6) 中 的 internet (1) 中 的 mgmt (2) 中 的 MIB-I(1) 
中 的 system (1 )。 

命令 行 追 踪 式 的 SNMP 应 用 程序 通过 消息 类 型 和 OID 的 组 合 来 执行 相关 操作 。 例 如 在 
SNMP 管理 者 中 输入 以 下 命令 ， 














= Snmp get T3022 LL 





就 能 获得 SNMP 代理 者 返回 的 1.3.6.1.2.1.1 的 MIB 值 。 


e SNMP 管理 者 

有 很 多 SNMP 管理 者 相关 的 软件 产品 可 供 使 用 ,如 UNIX 的 SNMP daemon (snmpd )、HP 
公司 的 OpenView Network Node Manager、 思 科 公司 的 CiscoWorks 等 。 另 外 , 在 Internet 上 还 有 
TWSNMP 、wSnmpTrap 、SnmpCop 等 供 Windows 使 用 的 免费 SNMP 管理 者 软件 。 如 果 仅 仅 是 用 
来 验证 ， 那 么 免费 的 SNMP 管理 者 软件 就 已 经 足够 了 。 

下 载 并 安装 SNMP 管理 者 软件 之 后 ， 输 入 SNMP 代理 者 的 IP 地 址 等 设置 信息 ， 并 将 私有 
MIB 信息 在 SNMP 管理 者 软件 中 进行 注册 。 另 外 ， 也 可 以 使 用 团体 名 将 需要 管理 的 SNMP 代理 
者 信息 设置 在 SNMP 管理 者 软件 中 。 然 后 就 可 以 进行 各 种 操作 了 ， 比 如 从 SNMP 代理 者 获取 信 
息 ， 设 立 通 信 信 息 采 集 周期 、 定 期 获取 所 需 的 统计 信息 等 。 






































eRMON 
SNMP 中 还 带 有 名 为 RMON (了 Remote network MONitoring， 远 程 网 络 监控 ) 的 扩展 功能 。 
SNMP 代理 者 记录 LAN 上 的 通信 流量 信息 ， 并 将 其 保存 到 MIB 数据 库 中 。 当 SNMP 管理 者 请 
求 这 类 信息 时 ，SNMP 代理 者 会 在 应 答 中 返回 该 类 信息 ， 从 而 实现 远程 网 络 监 控 的 功能 。 
交换 机 除了 实现 SNMP 基本 功能 之 外 ， 还 必须 实现 RMON 探测 ( probe ) 功能 ( 有 时 也 会 将 
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< 


该 功能 独立 到 NetScout 这 类 专用 设备 上 )。RMON 探测 功能 就 是 捕获 分 组 ， 解 析 后 收集 统计 信息 
并 将 其 保存 到 名 为 RMON MIB 的 MIB 数据 库 中 。SNMP 管理 者 通过 访问 RMON MIB 即 可 获取 
相关 的 统计 信息 。 虽 然 SNMP 自身 也 能 够 在 一 定 程 度 上 获取 流 经 网 络 硬件 接口 的 字 节 数 和 分 组 
数 等 信息 ， 但 使 用 RMON 获取 的 通信 统计 信息 更 为 详细 。 

RMON 和 其 他 收集 统计 信息 的 功能 ， 原 本 是 用 于 通过 监控 网 络 接 和 的 通信 流量 ， 检 查 网 络 
带宽 是 否 充足 、 某 些 网 段 流 量 是 否 有 起 落 异 党 等 情况 ， 以 便 日 后 能 够 进行 一 些 增 强 设备 性 能 、 优 
化 服务 设置 等 稳定 网 络 的 调整 。 



















































































然而 最 近 ， 用 于 安全 方面 的 网 络 监 控 越 来 越 多 ， 在 网 络 审计 记录 中 会 记录 “ 谁 在 什么 时 候 访 
问 了 什么 站 点 ”这 类 信息 。“ 谁 ”一 般 记 录 的 是 MAC 地 址 或 卫 地址， 但 如 果 连 接 了 认证 服务 器 
的 话 ， 其 至 能 够 记录 用 户 的 ID 信息 。 

RMON MIB 中 分 为 RMON-1 与 RMON-2 两 个 版 本 ( 表 2-26 )。 


EF RMON MIB 















































































































































































































































































































































































































































设置 内 容 说 明 
RMON-1 收集 物理 层 与 数据 链 路 层 的 通信 统计 信息 ， 与 MIB-l| 的 接口 组 ( Interface Group ) 一 起 使 用 。 
( RFC1757 ) 下 面 是 MIB 组 信息 
名 称 说 明 
ethernet statistics 通过 探测 功能 收集 每 个 以 太 网 接口 的 统计 信息 
history control 定期 抽样 调查 的 历史 统计 信息 
ethernet history 和 以 太 网 有 关 的 历史 统计 信息 
alarm 在 某 个 时 间 段 内 ， 当 数据 量 超过 设置 的 阔 值 时 生成 的 告警 
host 与 每 个 主机 相关 联 的 统计 信息 
hostTopN 在 交互 最 多 的 主机 间 生 成 的 统计 信息 
matrix 两 个 地 址 之 间 生 成 的 、 和 通信 相关 的 统计 信息 
filter 生成 作为 分 组 捕获 规则 的 过 滤器 
packet capture 根据 过 滤器 捕获 的 分 组 信息 
event 关于 事件 发 生 与 通知 的 信息 
RMON-2 于 获得 网 络 层 以 上 的 统计 信息 ， 属 于 RMON-1 的 扩展 。 下 面 是 MIB 的 组 信息 
( RFC2021 ) 名 称 说 明 
protocol directory 提供 协议 的 种 类 
protocol distribution 根据 协议 的 种 类 提供 统计 信息 
address mapping 是 供 MAC 地 址 和 IP 地 址 映射 信息 
network layer host 各 网 络 地 址 的 统计 信息 
network layer matrix 页 个 网 络 地 址 之 间 的 统计 信息 
application layer host “| 某 台 主 机 上 各 应 用 程序 的 统计 信息 
application layer matrix | 两 个 网 络 之 间 各 应 用 程序 的 统计 信息 
















































































user history 管理 历史 信息 ， 可 制定 管理 的 时 间 间 隔 和 次 数 
probe configuration 管理 探测 本 身 的 MIB 信息 
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设置 内 容 说 明 
SMON 管理 LAN 交换 机 的 RMON 扩展 标准 ， 即 交换 监控 (Switching Monitoring )， 定 义 了 名 为 
( RFC2613 ) SMON ProbeCapabilities 的 MIB 组 信息 
名 称 说 明 


























smonVlanStats “| 管理 IEEE 802.1Q 时 使 
smonPrioStats 管理 802.1Q 中 通信 流量 的 优先 级 
dataSourceCaps “| 硬件 的 数据 源 
portCopyConfig “| 控制 交换 机 的 镜像 端 





















































































































































nterface Parameters | 定义 了 名 为 |fTopN ( interfaceTopNObjects ) 的 托管 对 象 。If 表示 Interface，TopN 表示 前 N 
onitoring 位 的 统计 信息 。 当 LAN 交换 机 存在 多 个 端口 时 ， 从 中 抽取 负载 较 高 的 端口 进行 统计 
RFC3144 ) 

DSMON 差分 服务 监控 ( Differentiated Services Monitoring )， 能 够 对 DSCP ( differentiated services 
RFC3287 ) code point， 差 分 服务 代码 点 ) 优 先 级 控制 进行 分 类 的 RMON 扩展 MIB 

HSRMON 大 流量 远程 网 络 监控 ( High Capacity RMON 

RFC3273) )， 用 于 在 大 流量 通信 环境 中 获取 通信 统计 信息 的 功能 扩展 。 将 32bit 的 统计 信息 计数 器 扩展 为 

64bit， 将 最 大 统计 字 节 数 从 2 的 32 次 方 ( 42 亿 ) 指 数 翻 倍 扩展 为 2 的 64 次 方 











加 NetFlow、SsFlow 

虽然 很 多 交换 机 都 采用 RFC 标准 的 RMON， 但 是 在 进行 基于 MIB 的 监控 时 ， 如 果 流 量 超 
过 100Mbit/s， 就 会 需要 占用 大 量 CPU 或 内 存 等 资源 ， 不 仅 无 法 实现 内 容 全 部 监控 ， 而 且 获 取 大 
量 数据 会 耗 时 过 长 导致 数据 无 法 实时 解析 。 要 想 实 时 获取 所 需 的 统计 信息 ， 就 需要 使 用 NetFlow 
或 sFlow 技术 。 通 过 这 类 技术 可 以 获得 LAN 的 流量 内 容 信 息 ， 并 高 效 管理 网 络 性 能 。 




















® NetFlow 

NetFlow 是 由 思科 公司 开发 的 通信 流量 管理 技术 , 在 Linux 和 Unix 系列 操作 系统 、Juniper 
网 络 公 司 和 ALAXALA 网 络 公 司 的 网 络 硬件 上 也 可 实现 。 该 技术 对 通过 LAN 设备 的 分 组 进行 
识别 ,将 与 “发 送 源 IP 地 址 ”“ 发 送 目 的 地 IP 地 址 ”“ 发 送 源 端口 ”“ 发 送 目 的 地 端口 ”“IP 协议 
号 ”“ 输 入 接口 ”“IP 的 TogS 值 ”这 7 个 参数 相 一 致 的 单 向 传送 的 分 组 集合 定义 为 “数据 流 ”， 并 
对 该 数据 流 进行 统计 。 随 后 ， 将 统计 结果 发 送 到 名 为 NetFlow 收集 器 的 监控 装置 中 ， 就 能 够 以 地 
址 或 协议 为 单位 进行 信息 的 二 次 统计 ( 图 2-34 )。 

NetFlow 有 很 多 版 本 ， 最 新 的 版 本 NetFlow 9 是 以 RFC3954 的 形式 发 布 的 。 另 外 ， 除 了 
NetFlow 之 外 , 其 他 厂商 还 实现 了 将 通信 流量 以 数据 流 为 单位 进行 统计 的 技术 %, 不 过 这 些 技术 均 
是 在 NetFlow 9 的 基础 上 作为 IPFIX (IP Flow Information export ) 在 RFC5105 中 完成 了 标准 化 。 















































中 ”如 Juniper 公司 的 Jflow 和 cflowd、3Com 公司 /华为 公司 的 NetStream、 阿 尔 卡 特 朗 讯 公司 的 Cflowd、 爱 立信 公司 的 
Rflow、Citrix 公司 的 AppFlow 等 。 
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加 及 王刚 NetFlow 的 概念 图 
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Collector 


NetFlow 


Analyzer 
Exporter 


( 互联 网 ”) Storage 
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sFlow 是 由 InMon 开发 的 一 种 在 分 组 ( packet ) 抽样 基础 上 管理 通信 流量 的 技术 。 该 技术 版 
本 4 的 细节 在 RFC3176 中 发 布 ， 并 在 Foundry 公司 、 日 立 公司 、HP 公司 以 及 Force10 Networks 


公司 (以 下 简称 为 Force10 公司 ) "的 LAN 交换 机 产品 上 得 到 了 具体 的 实现 。 


sFlow 技术 可 以 监控 交换 机 上 通过 的 分 组 ， 并 在 一 定 周期 内 对 其 进行 抽样 ， 获 得 分 组 首部 
与 监控 到 的 分 组 的 统计 信息 (如 分 组 总 数 、 字 节 总 数 等 )， 然 后 通过 交换 机 内 置 的 sFlow 代理 向 
sFlow 收集 器 上 报 (图 2-35 )。sFLow 收集 器 将 得 到 的 信息 按 接收 发 方 地 址 类 型 、 协 议 类 型 等 进 
行 分 类 处 理 ， 能 够 统计 不 同类 型 的 通信 信息 。 在 交换 机 中 ，sFlow 的 监控 功能 与 RMON 相 比 更 





为 简单 一 点 ， 因 此 能 够 租 入 到 ASIC 硬件 中 ， 也 能 够 进行 高 速 通信 。 





中 ”该 公司 于 2010 年 被 戴尔 公司 收购 。 
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pl 引 。”sFlow 的 概念 图 











使 用 SNMP 与 MIB 
设置 SFlow 
























sFlow 代 理 
( 交换 机 或 路 由 器 ) 


sFlow 收 集 器 









UDP/161 





UDP/6343 














功能 实体 

















通过 专用 硬件 对 经 过 的 分 组 定期 向 收集 器 发 送 
或 接口 计数 器 信息 进行 抽样 抽样 数据 















































从 代理 处 获得 抽样 数据 并 3 
【 行 分 析 
※ 是 否 使 用 SNMP MIB 为 可 选项 





























® Syslog 





Syslog 是 在 加 利 福 尼 亚 大 学 伯克利 分 校 的 伯克利 软件 套件 ( BSD，Berkeley Software Distribution ) 
的 TCP/IP 系统 "上 实现 的 ， 用 于 获取 网 络 日 志 的 应 用 程序 ， 一 般 占 用 UDP 的 514 端口 。 

该 机 制 虽 然 没 有 通过 IETF 组 织 进行 标准 化 ， 但 符合 业内 的 事实 标准 ( De facto standard )， 所 
以 在 很 多 操作 系统 上 都 进行 了 移植 ， 而 且 在 RFC3164 协议 中 的 Information 一 节 也 有 对 于 该 机 制 























的 介绍 。 


Syslog 的 运行 方式 同 SNMP 的 Trap 相似 ， 仅 仅 由 通信 设备 单方 面向 Syslog 服务 器 发 送 事件 


消息 (图 2-36 )。 


Syslog 的 结构 








路 由 器 等 Syslog 服 务 器 

















中 即 BSD Unix 操作 系统 。 译 者 注 
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Syslog 消息 根据 其 重要 程度 分 成 不 同 的 级 别 ， 最 重要 的 级 别 为 0， 不 重要 的 级 别 为 7， 一 共 
分 成 8 级 ( 表 2-27 )。 


Syslog 消息 的 级 别 划分 


SS 































































































级 别 重要 程度 ( Severity ) 说 明 
0 Emergency ( 致命 ) 系统 无 法 使 
1 Alert ( 告警 ) 需要 及 时 应 对 
2 Critical ( 危急 ) 出 现 危险 状况 
3 Error ( 异常 ) 出 现 异 常 状态 
4 Warning ( 注意 ) 出 现 需 要 注意 的 事项 
5 Notice (通告 ) 在 正常 范围 内 允许 的 特殊 状态 
6 Informational ( 信息 ) 告知 某 个 信息 的 消息 
7 Debug ( 调试 ) 于 调试 的 消息 


























在 实际 的 产品 中 可 以 设置 Syslog 日 志 从 哪个 级 别 开 始 记录 ， 当 设置 完毕 后 ， 该 级 别 以 上 的 
所 有 日 志 信息 均 会 告知 服务 需 。 

例如 在 Cisco IOS 中 进行 以 下 设 定 ， 从 级 别 0 至 级 别 6 的 所 有 日 志 信 息 均 会 送 到 Syslog 服 
务 器 。 


router (config)# logging trap 6 


Syslog 除了 级 别 以 外 ， 还 有 一 个 名 为 设施 ( facility ) 的 设置 项 ， 用 来 告知 系统 在 何 处 生成 日 
志 。Facility 能 够 定义 内 核 、 邮 件 系 统 、FTP 守护 进程 、NTP 和 内 部 使 用 的 local0~local7 等 值 ， 
详细 内 容 可 以 参考 RFC3164 协议 。 

Syslog 的 消息 格式 如 下 所 示 。 

















mm/dd/yyy:hh/mm/ss:facility-severity-MNEMONIC:description 
(月 /日 /年 /时 /分 / 秒 : facility-level-event 类 型 : 说 明 ) 





























举 个 具体 的 例子 。 


12/26/2003,16:00:15:SYS-5-MOD INSERT: Module 5 has been inserted 





其 中 “12/26/2003,16:00:15” 表 示 日 期 与 时 间 ，SYS-5-MOD _INSERT 中 通过 “-” 分 割 信息 ， 
SYS 表示 facility 名 称 ，5 表示 级 别 ，MOD _ INSERT 表示 事件 类 型 (mnemonic code， 助 记 符 )， 
最 后 的 “Module 5 has been inserted” 表 示 事 件 描述 。 

Syslog 和 SNMP 同属 于 管理 类 型 的 协议 ， 考 虑 到 实时 性 的 要 求 ， 一 般 采 用 UDP 来 实现 。 但 
在 某 些 硬件 中 也 有 采用 TCP 来 实现 的 例子 ， 这 时 就 需要 在 Syslog 服务 器 以 及 发 送 事件 的 硬件 上 
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配置 必要 的 Syslog 端口 。 
在 FreeBSD 以 及 Linux 中 一 般 使 用 syslogd 这 一 守护 进程 来 实现 Syslog 的 相关 功能 。 


02.09 ”交换 机 架构 





交换 机 的 基本 架构 是 由 带 有 多 个 RJ-45 接口 、 PHY、MAC 等 模块 的 网 络 接口 控制 需 
( Network Interface Controller， 简 称 NIC ) 和 管理 由 各 个 NIC 分 配 的 收发 帧 缓存 、 转 发 表 的 软件 
(或 ASIC ) 组 成 ,通过 参考 转发 表 信息 ， 在 NIC 之 间 进 行 数据 帧 交互 。 

图 2-37 展示 了 交换 机 的 基本 架构 。 


交换 机 的 基本 架构 























转发 表 

















MAC 地 址 端口 号 ”有效期 限 
OO 22a ee 1 300 秒 








帧 缓存 学 习 ( Learning ) 帧 缓存 
“学 习 发 送 方 的 MAC 地 址 
“向 转发 表 中 添加 信息 
转发 ( forwarding ) 




















NIC 














"识别 目的 地 MAC 地 址 
“ 搜索 转发 表 
“ 像 发 送 源 端口 转发 数据 帧 

























































































图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


02.09 ”交换 机 架构 | 113 


02.09.01 网 络 控制 器 ( LAN 控制 器 ) 


在 个 人 计算 机 和 网 络 硬件 内 部 ， 均 有 一 种 叫做 网 络 控制 器 (或 称 为 LAN 控制 项， 缩写 为 
NIC ) 的 模块 。 该 控制 器 能 够 将 数据 转换 成 以 大 网 数据 帧 ， 以 10/100/1000BASE-T 标准 通过 接口 
进行 数据 传输 。 网 络 控制 器 的 概念 图 如 图 2-38 所 示 ， 控 制 器 有 多 个 端口 (或 多 个 端口 模块 单元 )。 

网 络 控制 器 一 般 由 网 络 接口 、PHY 模块 、MAC 模块 和 总 线 接口 构成 。 


网 络 控制 器 概念 图 














单一 端口 的 LAN 控 制 器 














8/16/32bit 
通用 总 线 、 


10/100B TX、 
100Base SX、 







































































PCI 总 线 、 10Base SL 
SPI 总 线 
连 至 网 络 
设备 的 CPU 
物理 端 
双 端 口 LAN 控 制 器 10/100B TX、 
. 100Base SX、 
名 ， 10Base SL 
时 用 心 \ 碟 
PCI 总 线 
SPI 总 线 a 
Ee 
[eal 
连 至 网 络 国 物理 端 
设 盏 备 的 CPU 局 
| | 
(wg 
物理 端 

















02.09.02 PHY 模块 











以 太 网 物理 层 与 数据 链 路 层 的 MAC 子 层 相关 协议 功能 的 实现 一 般 会 使 用 对 应 标准 的 处 理 芯 
片 (集成 电路 ) 来 完成 。 

负责 对 以 太 网 进行 编码 等 物理 层 处 理 的 模块 就 叫做 PHY。 

图 2-39 是 PHY 的 逻辑 图 ， 展 示 了 PHY 中 有 哪些 功能 以 及 这 些 功 能 是 按 什么 顺序 进行 处 理 
的 。 表 2-28 中 则 展示 了 100BASE-TX 标准 中 PHY 模块 内 部 的 处 理 流程 。 
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10/100BASE 以 太 网 的 PHY IP? 核心 


表 2-28 





100BASE-TX 的 发 送 处 理 







































































































































































































































































管理 接 适应 PHY 控 制 
10BASE-T ) 
de 10M 发 送 10M 线 路 
曼 六 一 = 
[| 曼彻斯特 编码 过 滞 蝎 | 六 
4B 至 5B NRZz 启 Slope | _ 100M 线 路 | 100BASE-TX | ,，、、 
[| 。 转换 扰 码 MLT-3 转 换 | 控制 DA[| 驱动 [一 一 > 广发 送 
NRzZ 丘 100BASE-FX 
NRZI 转 换 六 一，| DPECL 
oe 
人 
100BASE-FX 接 收 100BASE-FX 
MI | 6 至 4B 转换 、 器 、 时 钟 翻转 、NRZi | 一 一 | DPECL | 一 一 一 
解 扰 码 、FEFI 向 NR2Z 转换 
状态 装置 、 100BASE-TX 
| 链 路 蜂 注 MLLT-3 向 仲裁 攻守 
RZ 转 换 上 要 舍 
| f 
转发 PLL 
均衡 器 
曼彻斯特 解码 | |10 IOBASET 
| 翻转 | 和 
J 
DPECL : Differential Positive Emitter-Coupled Logic ( 差分 正 射 极 耦 合 逻 辑 电路 ) 
PLL : Phase-locked loop ( 锁 相 环 ) 
FEFI : ”Far End Fault Indication ( 链 路 远 端 故障 指示 信号 ) 
D/A : 数 模 转 换 
A/D : 模 数 转换 


100BASE TX 标准 中 的 发 送 与 接收 处 理 概 要 


1. 控制 器 接收 数据 

2. 发 送 至 4B5B 编码 器 格式 化 
3. 发 送 至 扰 码 器 编码 

4. 转发 至 TP 发 送 器 ， 转 换 为 MLT-3 格式 








5. 形成 输 





上 信号 在 双 绞 线 上 传输 





100BASE-TX 的 接收 处 理 


2. 排除 


1. 从 双 绞 线 上 接收 至 


上 MLT-3 数据 
使 输入 的 信号 平整 





Iay 














3. 使 


频 噪声 ， 
Squelch a 




















gorithm 











4. 在 
5. 在 
6. 在 











时 钟 与 数据 恢 
Descrambler 9 


义 太 网 控制 器 上 








A 
输出 





法 控制 





将 收 数据 ， 完 成 MLT-3 编码 信号 的 数字 化 
区 内 完成 NRZ 格式 的 转换 
完成 解 扰 码 ， 并 完成 4B5B 解码 








如 表 2-29 所 示 ，PHY 负责 L1 (物理 层 ) 的 处 理 ， 分 成 三 个 子 层 完成 L2 (数据 链 路 层 ) 中 
MAC( Media Access Control， 媒 介 访 问 控 制 层 ) 以 下 的 处 理 (图 2-40 )。 





”这 里 的 全 x 是 指 Intellectual Property， 为 芯片 行业 支持 产权 设计 。 





译 者 注 
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ED PHY 的 地 位 
OSI 层 处 理 内 容 

成 MAC 数据 帧 

PCS 完成 MAC 数据 帧 的 编码 。 在 100BASAE-TX 中 完成 4B/5B 编码 、 标 明 数据 
( Physical Coding Sublayer ) | 首部 与 结尾 、 插 入 12 字 节 ( 96bit ) 的 数据 帧 分 割 标识 IFG ( Inter-Frame Gap ) 
PMA 在 数据 发 送 前 将 并 行 转 换 为 串 行 ( 将 从 并 行 链 路 获得 的 数据 序列 变换 为 单个 
( Physical Medium Attachment ) | 串 行 的 比特 流 ) 以 及 在 接收 数据 后 将 串 行 转换 为 并 行 
PMD 在 数据 发 送 前 调制 串 行 比特 流 信号 ， 使 信号 适合 在 双 绞 线 或 光纤 等 媒介 上 传 
( Physical Medium Dependent ) | 输 。 另 外 ， 在 接受 数据 之 后 还 负责 放大 在 100BASE-TX 中 ,将 2 值 信 
号 转变 成 MLT 的 3 值 信号 






























































































































































PHY 与 MAC 的 处 理 







































































5 
(MAC ) : 
| ”4bit 符 号 
人 5bit 符 号 
| 中 
数字 信号 
TUVTUTUTUTULD 
MLT-3 格 式 
a Tt 














传输 媒介 


02.09.03 MAC 模块 








MAC 模块 负责 生成 MAC 数据 帧 等 在 数据 链 路 层 MAC 子 层 中 进行 的 工作 ， 该 模块 也 简称 
为 MAC。 

MAC 模块 负责 MAC 数据 帧 发 送 和 接收 的 处 理工 作 ， 拥 有 发 送 缓存 和 接收 缓存 。 在 接收 
MAC 数据 帧 是 ， 从 通信 线 缆 上 接收 的 数据 在 通过 MAU (10Mbit/s 以 太 网 ) 或 PHY (快速 以 太 网 ) 
时 ， 会 被 保存 在 接收 缓存 中 ， 因 此 这 里 的 MAU 和 PHY 也 可 称 为 接收 器 。 随 后 ， 这 些 数 据 会 通 
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过 数据 总 线 接口 被 送 到 硬件 (DTE ) 内 部 进行 处 理 。 而 在 发 送 MAC 数据 帧 时 ， 数 据 则 走 与 上 述 
截然 相反 的 路 径 。 图 2-41 给 出 了 在 和 干 兆 以 大 网 中 MAC 模块 的 逻辑 结构 图 。 


千 兆 以 太 网 中 MAC 的 IP 核心 逻辑 结构 图 

















































































































识别 地 址 
10/10/1000 接收 
二 人 | 接收 MAC FIFO 送 一 
送 到 GMII/MII 处 理 队列 
流向 1G 闪 生 || 米 4 昌 S 闪 六 
PMA 接 千 兆 以 太 网 控制 数据 流 物理 接 
4 | 的 PCS 处 理 |+ 一 人 
10/10/1000 生成 发 送 
和 一 | 发 关 MAC | 和 pause | 本 FIFO | 和 一 
处 理 信和 入 队列 
管理 MI 
































02.09.04 _ AUI 与 MII 





MAC 模块 与 PHY 模块 之 间 的 接口 根据 以 太 网 、 快 速 以 太 网 、 千 兆 以 太 网 的 不 同 ， 分 别 可 以 
称 为 AUI、MIL 和 GMII( 如 图 2-42、 表 2-30 ) 。 








中 早期 以 太 网 传输 媒介 众多 ，PHY 相对 独立 ，MAC 则 相对 通用 ， 二 者 可 能 分 别 位 于 不 同 硬件 中 。 





译 者 注 





图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


02.09 ”交换 机 架构 | 117 


MAC 与 PHY 之 间 的 接口 
MIl 











100Mbit/s， _ 
Ne 10Mbiys，AUl | 一 转换 器 一 | MD 
5 100BASE-FX 
光纤 
4B5B 编 码 *FUIl Duplex 
; 线 纱 
100Mbit/s 的 MIl 线 统 
( 最 长 0.5m ) 100BASE-TX 











交换 式 集线器 
a UTP/Cat.5,STP 


4B5B 编 码 .Auto-Nego 









10Mbit/s 的 
中 继 集线器 
AU 








( 曼彻斯特 编码 


PHY 








100BASE-T4 
UTP/Cat.3 


8B6T 编 码 .Auto-Nego 


AUl 线 费 


5 于 MAC 与 PHY 之 间 的 接口 术语 





10BASE-5 
同 轴 电 绩 


























术语 名 称 


说 明 























在 10Mbit/s 以 太 网 中 MAC 与 MAU 的 共同 接口 ， 采 








3 























15pin 的 连接 头 



































































































































AUI (Attachment Unit Interface， 附 加 接 
单元 ) ( DB-15 )。 某 些 早 期 的 路 由 器 和 集线器 设备 会 外 置 该 AUI 端口 ( 也 称 为 
10BASE5 接口 )， 但 目前 的 硬件 几乎 都 采用 了 内 置 的 形式 
AUI 端 
完成 接收 和 发 送 10Mbit/s 以 太 网 数据 的 转换 器 装置 。 分 为 10BASE-T 


MAU ( Media Access Unit， 媒 介 访 问 单元 ) 














MAU、10BASE5 MAU、10BASE2 MAU 





10BASE5/10BASE2 转换 的 MAU 10BASE5/10BASE-T 转换 的 MAU 
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( 续 ) 
术语 名 称 说 明 
MIl ( Media Independent Interface， 媒 介 独 | 快速 以 太 网 中 的 MAC 与 PHY 之 间 的 接口 ， 相 当 于 10Mbit/s 以 太 网 中 
立 接口 ) MAC 与 MAU 之 间 的 AUl。 在 100BASE-T4 中 需要 完成 8B6T 编码 ， 
在 100BASE-TX 和 100BASE-FX 中 需要 完成 4B5B 编码 ( 即 根据 传输 



































媒介 的 不 同 转换 不 同 的 编码 方式 )， 因 此 使 用 MII 将 设备 接 入 以 太 网 并 
依赖 于 传输 媒介 。 在 实际 产品 中 ，NIC ( 网 络 接口 控制 器 ) 上 MAC 与 
PHY 的 接口 部 分 ，MAC 层 通常 保持 不 变 ， 只 根据 传输 媒介 的 不 同 替换 
掉 物 理 接口 部 分 即 可 





区 














































































































GMIl ( Gigabit Media Independent Interface，| 在 千 兆 以 太 网 和 万 兆 以 太 网 中 ， 和 MII 作用 相同 的 搓 
千 兆 媒介 独立 接口 ) 
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器 的 历史 、 种 类 、 功 能 、 架 构 等 内 容 















































通过 本 章 的 内 容 理解 路 


















































习 一 些 IP 寻 址 、 路 由 的 内 容 。 
以 及 介绍 以 太 网 之 外 的 路 由 器 特有 的 物理 层 和 链 路 层 的 相 
关 标 准 。 
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03.01 何 为 路 由 器 


























路 由 需 是 指 主要 负责 OSI 参考 模型 中 网 络 层 的 处 理工 作 ， 并 根据 路 由 表 信 息 在 不 同 的 网 络 
之 间 转 发 下 分 组 的 网 络 硬件 (图 3-1 )。 这 里 的 网 络 一 般 是 指 IP 子 网 ， 也 可 以 称 为 广播 域 。 此 外 ， 
现在 的 路 由 器 还 会 搭载 其 他 各 种 各 样 的 功能 。 

OSI 参考 模型 与 所 对 应 的 网 络 硬件 
OSI 参考 模型 TCP/IP 分 层 模型 网 络 硬件 









































应 用 层 防火 墙 、 
L7 交 换 机 、 
IDS/IPS 等 

表示 






































传输 层 防火 墙 、L4 交 换 机 














网 络 层 网 络 路 由 器 、L3 交 换 机 

















数据 链 吕 网 桥 、L2 交 换 机 
数据 链 数据 链 路 层 网 桥 、L2 交 换 忆 


物理 中 继 器 


























03.01.01 路 由 器 的 必要 性 








在 某 个 组 织 的 内 部 网 络 中 ， 如 果 其 中 的 一 个 LAN 希望 连接 男 一 个 LAN， 就 需要 使 用 路 由 器 
设备 。 另 外 ， 构 建 大 型 的 LAN 时 虽然 可 以 不 用 路 由 器 ， 但 需要 使 用 交换 机 或 主机 等 设备 来 管理 
大 量 的 MAC 地 址 信息 ， 不 过 ， 当 频繁 进行 广播 通信 时 ， 设 备 的 负担 就 会 非常 大 。 这 种 情况 下 ， 
为 了 减轻 设备 的 负担 ， 需 要 将 LAN 划分 成 一 个 个 子 网 ， 而 每 一 个 子 网 之 间 的 通信 就 需要 依靠 路 
由 需 进 行 了 。 

在 为 了 连接 互联 网 而 与 互联 网 服务 供应 商 建 立 连 接 时 ， 也 同样 需要 用 到 路 由 顺 设 备 。 





























03.01.02 ”什么 是 路 由 选择 


路 由 需 进 行 卫 分 组 路 径 选 择 的 处 理 即 为 路 由 选择 ( routing )。 
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路 由 器 从 输入 接口 处 收 到 IP 分 组 后 ， 根 据 其 首部 包含 的 发 送 目 的 地 址 信息 进行 路 径 选 择 ， 
并 按照 选择 结果 将 IP 分 组 转发 到 流出 接口 处 。 其 中 转发 的 路 线 叫 做 路 径 ， 而 路 由 需 在 路 由 选择 
处 理 时 所 参考 的 信息 叫做 路 由 表 ( routing table )( 表 3-1 )。 路 由 融通 过 这 些 信息 可 以 决定 将 收 到 
的 卫 分 组 转发 到 哪个 网 络 。 路 由 表 由 多 个 路 由 表 表 项 构成 ， 其 中 每 个 表 项 都 可 以 由 管理 者 手动 


























设置 ( 即 静 态 路 由 )， 也 可 以 根据 路 由 协议 自动 生成 ( 即 动态 路 由 )。 


和 路 由 有 关 的 术语 
术语 说 明 
路 径 ( route ) 器 转发 分 组 的 路 径 
选择 ( routing ) 器 进行 IP 分 组 路 径 选 择 的 处 理 。 在 完成 路 径 选 择 后 ， 将 分 组 发 送出 去 ， 这 一 















































称 为 转发 ( forwarding ) 
表 表 项 ( routing table entry ) 器 在 进行 路 由 选择 时 参考 的 路 径 信息 ， 的 网 络 与 下 一 跳 ( Next Hop ) 构 成 
表 ( routing table ) 表 表 项 的 集合 体 ， 路 由 器 进行 路 由 选择 处 理 时 需要 参考 该 表 内 容 






























































































































































路 由 选择 处 理 在 网 络 层 中 完成 ， 其 过 程 如 图 3-2 所 示 。 
OSI 参考 模型 中 路 由 选择 发 生 的 位 置 


Em EE 


与 人 9 全 7 3 









































IP 地 址 控制 ( 路 
MAC 地 址 控制 
PR 
































= 数据 链 路 层 











物理 




















IP 子 网 的 范围 ( 广播 域 ) 





03.01.03 ”转发 





路 由 选择 的 处 理 需要 根据 目的 地 IP 地 址 中 的 信息 ， 判 断 将 分 组 转发 到 哪个 网 络 。 发 送 至 不 
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同 网 络 就 是 指 在 路 由 器 中 的 茶 个 流入 接口 处 接收 分 组 ， 然 后 将 其 发 送 到 其 他 的 某 个 流出 接口 。 
将 分 组 从 流入 接口 发 送 到 流出 接口 的 物理 发 送 过 程 叫做 转发 (图 3-3 )。 


转发 的 组 成 结构 
























存在 重复 路 径 的 话 ， 依 据 管辖 距 
离 ( Administrative Distance ) 


选择 对 应 的 表 









页 














路 由 表 


根据 最 长 距离 信息 
选择 输出 目标 



















































































多 转发 处 理 S 
起 DE 
输入 分 组 流 输出 分 组 流 
输出 端 


























03.01.04 ”路 由 器 的 功能 
路 由 器 的 主要 功能 如 表 3-2 所 示 。 上 有 具体 功能 请 参考 03.06 节 。 


EE 路 由 器 的 主要 功能 
说 明 









































管理 静态 路 由 和 动态 路 由 。 从 相 邻 路 由 器 处 获得 路 由 更 新 信息 ， 向 相 邻 路 由 器 发 送 路 








































































































处 理 、 队 列 以 及 判断 分 组 是 否 可 以 转发 。 对 比比 较 列 表 和 分 组 ， 执 行 相关 控制 操作 





























封装 用 于 输出 的 L2 数据 ， 计 算 L3 的 校 验 总 和 ， 更 新 TTL" 以 及 HOP 数 


















































交口 的 统计 信息 、Telnet、SNMP、ping、trace route、HTTP 

















Q@ TTL 是 PP 协议 包 中 的 一 个 值 ， 是 网 络 判 断 分 组 在 网 络 中 的 时 间 是 否 太 长 、 是 否 应 被 丢弃 的 依据 。 译 者 注 
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03.02 ”路 由 器 是 如 何 诞 生 的 





路 由 器 的 诞生 与 互联 网 的 诞生 有 着 密切 的 关系 。1962 年 ， 保 罗 . 巴 兰 ”接受 了 美国 空军 的 委 
托 ， 开 始 研 发 一 个 项 目 。 这 个 项 目 旨 在 研发 美军 在 遭受 核 打 击 后 能 够 迅速 组 织 反击 的 通信 网 络 系 
统 ， 而 该 项 目 也 成 为 了 互联 网 研究 的 开端 。 

该 项 目 所 研发 的 通信 网 络 系统 并 没有 使 用 当时 较为 流行 的 、 应 用 于 电话 系统 中 的 线路 交换 方 
式 ， 而 是 采用 了 现在 互联 网 依然 使 用 的 分 组 交换 方式 。 该 交换 方式 以 分 组 为 单位 分 割 信息 ， 并 不 
断 地 向 通信 的 另 一 方 发 送 ， 直 到 对 方 收 到 为 止 ， 在 当时 这 是 一 个 非常 可 靠 的 通信 手段 。 

1969 年 4 月 7 日 ， 首 个 RFC* 一 一 RFC1 发 布 。 该 文件 的 第 一 项 内 容 记 录 了 ASummary of 
the IMP Software (IMP 软件 的 总 结 )， 其 中 的 IMP (Interface Message Processor， 接 口 信息 处 理 
器 ) 是 指 由 美国 BBN 公司 “开发 的 分 组 交换 设备 ， 也 就 是 路 由 器 的 原型 。 同 年 10 月 ， 加 利 
福 尼 亚 大 学 洛杉矶 分 校 与 斯 坦 福 研 究 所 之 间 使 用 IMP 完成 了 首次 数据 传送 。 同 年 12 月 ， 随 
着 加 利 福 尼 亚 大 学 圣 巴 巴 拉 分 校 和 犹他 大 学 的 加 入 ，4 所 学 校 的 网 络 成 功 实现 了 互联 ， 阿 由 网 
(ARPANET ) 诞生。 

1971 年 ， 阿 帕 网 的 连接 节点 达到 了 15 处 ，1972 年 达到 了 23 处 。 其 中 ,无 论 是 美国 的 大 学 
是 研究 机 构 等 ， 所 有 的 连接 均 通 过 IMP 实现 。 

1972 年 ,在 ARPA 任职 的 饱 勃 . 卡 恩 ”开始 构思 一 种 仅 用 于 分 组 转发 的 特殊 计算 机 ， 他 把 
这 种 计算 机 称 为 Gateway。 随 后 ， 他 和 斯 坦 福 大 学 的 温 顿 . 瑟 夫 ”共同 在 1974 年 发 表 了 TCP 
( Transmission Control Protocol,， 传输 控 制 协议 ) 协议 全 文 。 当 时 的 Gateway 即 现在 的 路 由 器， 
TCP 协议 几经 修订 , 已 成 为 TCP/IP 的 重要 组 成 部 分 。 

在 TCP 出 现 以 前 ， 是 使 用 NCP ( Network Control Protocol， 网 络 控 制 协 议 ) 协议 将 计算 机 互 
联 的 , 但 由 于 没有 TCP/IP 那样 完备 的 地 址 体系 ， 因 此 仅 适 用 于 小 型 网 络 。1982 年 , 使 用 NCP 
进行 互联 的 主机 被 TCP/IP 取代 ®。 
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还 

”Paul Baran， 当 时 他 就 职 于 美国 RAND 公司 。 译 者 注 

@ RFC 是 制定 互联 网 相关 技术 标准 的 团体 IETF 正式 发 布 时 使 用 的 文件 ， 某 种 程度 上 来 说 该 文件 也 是 建议 书 。 

@@ ”如果 计算 机 的 型 号 和 绑 定 的 软件 类 型 不 统一 ， 即 使 将 计算 机 连接 在 一 起 也 是 无 法 进行 互联 的 ， 因 此 必须 按照 计算 机 
类 型 制作 相应 的 软件 。 但 为 了 帮助 计算 机 互联 而 编写 数量 庞大 的 软件 显然 也 是 不 现实 的 。 这 时 ， 如 果 每 个 计算 机 都 
有 和 IMP 连接 的 软件 ， 并 且 IMP 之 间 也 有 相互 连接 的 软件 的 话 ， 通 过 IMP 这 一 设备 就 可 以 完成 网 络 的 扩容 。 

@ 现 为 美国 著名 军火 商 雷神 公司 的 子 公司 。 译 者 注 

@) 美国 国防 部 中 的 ARPA (高 级 研究 计划 署 ) 以 军事 为 目的 构建 的 ARPANET，, 含义 为 ARPA 的 网 络 ， 因 此 称 为 
ARPANET ( 阿 帕 网 或 ARP Network )。1973 年 时 连接 的 所 有 主机 信息 可 以 参考 RFC597 中 的 记录 。 

@ 罗伯特. 埃 利 奥 特 . 卡 恩 ( Robert Elliot Kahn，1938 年 12 月 23 日 - )， 多 称 为 鲍 勃 . 卡 恩 (Bob Kahn )。 译 者 注 

@ 温 顿 . 瑟 夫 (Vinton G. Cerf ) 博 士 是 谷歌 公司 副 总 裁 兼 首席 互联 网 专家 ， 同 鲍 勃 并 称 为 “互联 网 之 父 ”。 译 者 注 

@ 目前 的 PPP 协议 也 包含 了 称 为 NCP 的 协议 ， 但 是 与 这 里 的 NCP 是 截然 不 同 的 概念 。 
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需要 补充 的 是 ， 此 时 计算 机 的 互联 不 仅 局 限于 使 用 IMP，DEC 公司 的 PDP-11、HP 公司 的 
HP-3000 和 VAN 等 小 型 计算 机 上 通过 UNIX(C 语言 ) 实现 的 网 关 也 被 投入 使 用 。 








03.02.01 世界 上 最 早 的 商用 路 由 器 





1986 年 1 月 ， 美 国 的 Proteon 公司 了 发 布 了 首 款 商 用 路 由 器 ProNET p4200 (图 3-4 )。 同 年 3 
月 ， 美 国 的 思科 公司 发 布 了 AGS 多 协议 路 由 需 ( 图 3-5 )。 这 些 产 品 均 是 作为 专用 硬件 (网 络 设 
备 ) 出 现在 市 场 上 。 


世界 上 第 一 台 商 用 路 由 器 ProNET p4200 

















思科 公司 的 AGS 

















1993 年 ， 思 科 公 司 发 布 了 处 理 能 力 达 到 270kpps 的 Cisco 7000 系列 ， 并 将 其 作为 高 端 产品 
推 向 市 场 。 该 路 由 器 配备 了 宛 余 电源 、 支 持 热 交 换 的 线 卡 、 使 用 闪存 来 存放 操作 系统 来 进行 设备 
的 管理 , 所 支持 的 协议 也 不 再 仅仅 局 限于 卫 协议 , 还 能 支持 SNA®、IPX”、DECnet”、AppleTalk 等 
非 亿 协议 。 

之 后 ， 随 着 互联 网 的 快速 普及 ， 市 场 对 能 人 够 高 效 处 理 通信 流量 路 由 器 的 需求 也 越 来 越 迫 切 。 
思科 公司 在 1997 年 发 布 了 Cisco 12000 系列 ， 该 系列 产品 能 够 支持 OC-482 ( 2.4Gbit/s ) 以 及 千 兆 
以 太 网 接口 ，IP 通信 流量 的 转发 能 力也 达到 了 25Mpps。 该 路 由 器 产品 没有 使 用 以 往 共 享 总 线 的 



























































目前 有 关 该 公司 的 资料 极 少 ， 但 领 英 ( LinkedIn ) 宣 称 它 曾 是 最 大 的 路 由 器 市 场 份额 占有 者 。 译 者 注 
SNA 是 IBM 公司 开发 的 网 络 体系 结构 ， 在 IBM 公司 的 主机 环境 中 得 到 广泛 的 应 用 。 译 者 注 

IPX (Internetwork Packet Exchange protocol ) 是 一 个 专用 的 协议 化， 主要 是 Novell NetWare 操作 系统 使 用 。 
DECnet 是 美国 数字 设备 公司 推出 并 支持 的 一 组 协议 集合 。 译 者 注 

即 光学 载波 48。 一 一 译 者 注 








译 者 注 
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交换 方式 ， 而 是 采用 了 交叉 总 线 交换 ， 使 得 多 块 线 卡 可 以 并 行 、 高 速 地 转发 通信 流量 。 

1998 年 ，Juniper 网 络 公司 开 始 销售 M40 系列 路 由 器 ， 该 路 由 器 搭载 了 能 够 高 速 处 理 分 组 转 
发 的 ASIC 芯片 ， 处 理 能 力 达 到 40Mpps。 同 年 ， 日 立 制作 所 也 开始 研发 使 用 交叉 总 线 交 换 的 分 
布 式 转发 架构 路 由 器 GR2000。 

2004 年 ， 思 科 公 司 开始 销售 面向 电信 和 运营 商 的 路 由 器 CRS-1。 该 产品 在 1 个 机 框 内 搭载 16 


























块 线 卡 ， 处 理 能 力 达 到 1.2Tbit/s。 而 且 如 果 在 机 框 内 进行 集群 ， 其 至 能 使 单一 系统 的 处 理 能 力 达 
到 92Tbit/s ( 表 3-3 )。 


EO》 商用 路 由 器 的 历史 





















































































































































































































































年 份 事件 标准 化 等 进程 
969 | 贝尔 实验 室 开始 开发 UNIX 操作 系统 发 布 最 早 的 RFC 文档 
970 | ARPANET 项 目 启动 
974 | 温 顿 * 瑟 夫 发 布 最 初 的 TCP 协议 版 本 TCP ( RFC675 ) 
976 UUCP ( Unix to Unix Copy Protocol ) 
979 国 开 始 启 动 USENET 
980 发 布 DIX 以 太 网 标准 
发 布 UDP 协议 (RFC768 ) 
981 美国 开始 建立 BITNET 与 CSNET" 发 布 |P 协议 ( RFC791 ) 
发 布 TCP 修订 版 ( RFC793 ) 
982 | 欧洲 开始 了 启动 EUnet 
983 | ARPANET 开始 引入 TCP/IP IEEE 802.3 ( 10BASE5 ) 
Telnet ( RFC854 ) 
DNS ( RFC882 ) 
1984 | JUNET ( Japan University Network ) 开 始 建设 
引入 互联 网 中 的 域名 系统 
1985 发 布 FTP 修订 版 ( RFC959 ) 
1986 美国 开始 建立 NSFNET 
Proteon 公司 发 布 世界 上 第 一 台 商用 路 由 器 ProNET p4200 
思科 公司 发 售 AGS ( Advanced Gateway Server ) 路 由 器 产品 
1987 发 布 DNS 修 订 版 (RFC1034、 
RFC1035 ) 
1988 | IANA ( 互联 网 数字 分 配 机 构 ) 建立 IEEE 802.3a ( 10BASE2 ) 
RIP ( RFC1058 ) 
1989 | CERN ( 欧洲 核子 研究 组 织 ) 开 创 了 Web 概念 





























(DD 同属 美国 早期 用 于 科研 和 高 校 资源 共享 的 全 国 性 骨干 网 络 。 
@) 互联 网 域名 系统 的 最 高 权威 机 构 ， 掌 握 着 互联 网 域名 系统 的 设计 、 维 护 及 地 址 资源 分 配 等 方面 的 绝对 权力 。 





译 者 注 





译 者 注 
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年 份 事件 标准 化 等 进程 
1990 | Kalpana 公司 发 售 世 界 上 第 一 台 交 换 式 集线器 EtherSwitch IEEE 802.3i ( 10BASE-T ) 
SNMP ( RFC1157 ) 
1991 OSPF 版 本 2 ( RFC1247 ) 
1992 | Windows 3.1 开始 销售 NTP ( RFC1305 ) 
1993 ”| 思科 公司 发 布 高 端 路 由 器 Cisco7000 系列 DHCP ( RFC1531 ) 
NFS ( 美国 国家 基金 会 ) 设 立 InterNIC 
本 设立 JPNIC 
发 Web 浏览 器 Mozaic 
1994 | Bay Networks 公司 发 售 搭 载 VLAN 功能 的 以 太 网 交换 机 28115 
思科 公司 发 售 面向 小 规模 办 公用 的 路 由 器 产品 Cisco2500 系列 。 
始 应 用 IP 多 播 技 术 。 此 后 的 路 由 器 开始 使 用 QoS 的 相关 技术 。 
发 售 Web 浏览 器 Netscapte Navigator 1.0 
1995 | YAMAHA 发 售 ISDN 远程 路 由 器 RT100i IEEE 802.3u ( 100BASE-TX ) 
BGP 版 本 4 ( RFC1771 ) 
re Pue PFClesa| 
思科 公司 发 售 首 个 搭载 了 多 块 千 兆 以 太 网 背 板 和 POS ( Packet Over 
SONET ) 接 口 的 Cisco7500 系列 路 由 器 
思科 公司 发 售 首 个 L3 交换 机 Catalyst 5000 系列 产品 
Windows 95、Internet Explorer 开始 在 市 场 上 销售 
1996 思科 公司 开始 发 售 使 用 交叉 总 线 交换 技术 的 Cisco12000 路 由 器 POP3 ( RFC1939 ) 
Juniper Networks 公司 创立 
1997 | 思科 公司 的 Cisco2500 系列 路 由 器 销售 量 达 到 100 万 台 发 布 DHCP 修订 版 (RFC2131 ) 
开发 MPLS ( Multiprotocol Lable Switching， 多 协议 标签 交换 ) 
发 L3 交换 机 
1998 | Juniper Networks 公司 开始 销售 M40 路 由 器 IEEE 802.3z ( 10BASE-X ) 
Melco 公司 ( 现 Buffalo 公司 ) 开 始 销售 低 价 交换 式 集 线 器 LSW10/100-8 | OSPF 版 本 2 修订 版 ( RFC2328 ) 
IPSec 版 本 2 ( RFC2401 ) 
RIP 版 本 2 ( RFC2453 ) 
IPv6 修订 版 ( RFC2460 ) 
1999 IEEE 802.3ab ( 1000BASE-T ) 
HTTP1.1 修订 版 ( RFC2616 ) 
OSPF for IPv6 ( RFC2740 ) 
2000 | Juniper Networks 公司 开始 销售 M160 产品 发 布 RADIUS 修订 版 ( RFC2865 ) 
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事件 





MPLS ( RFC3031 ) 


YAMAHA 发 售 VPN 路 由 器 RTX1000/RTX2000 SIP 修订 版 ( RFC3261 ) 
Juniper Networks 发 售 路 由 器 T640 系列 SNMP 修订 版 ( RFC3411~RFC3418 ) 


IEEE 802.3ae ( 10GBASE-R ) 
RTP 修订 版 ( RFC3550 ) 




































































思科 公司 发 售 高 端 路 由 器 CRS-1 





























思科 公司 发 售 集成 多 业务 路 由 器 ISR ( Cisco1800/2800/3800 系列 ) 





















































立 制 作 所 和 日 本 电气 成 立 合资 公司 ALAXALA， 开 始 销售 高 端 路 
AX7800R 系列 
YAMAHA 公司 开始 销售 RTX3000 IEEE 802.3an ( 10GBASE-T ) 


BGP4 修订 版 ( RFC4271 ) 
TLS1.1 ( RFC4346 ) 
























































Juniper Networks 发 售 T1600 路 由 器 

















SMTP 修订 版 ( RFC5321 ) 














思科 公司 发 售 集成 多 业务 路 由 器 ISR G2 ( Cisco1900/2900/3900 系列 ) 
Juniper Networks 公司 发 售 T4000 路 由 器 















































03.02.02 ”路 由 器 性 能 的 进化 


路 由 带 性 能 的 演进 过 程 如 表 3-4 所 示 。 其 中 的 pps 是 指 分 组 /每 秒 的 单位 ， 表示 在 1 秒 内 ， 
路 由 噩 能 够 转发 多 少 个 耳 分组。 


路 由 器 性 能 的 演进 








1 秒 内 能 够 转发 的 高 清 画 面 


旦 注 1 
吞吐 量 数据 量 二 。 





100pps 1.14Mbit/s 0.08 秒 
10kpps 17.18Mbit/s 9 秒 
Cisco 7000 270kpps 3.09Gbit/s 4 分 钟 
Cisco12000 10Mpps 117.18Gbit/s 2 小 时 30 分 钟 
Juniper M40 40Mpps 468.75Gbit/s 
立 GR2000 40Mpps 468.75Gbit/s 
立 GR4000-320E | 240Mpps 2.74Tbit/s 
Juniper T640 3Gpps 35.16Tbit/s 
Cisco CRS-1 36Gpps 421.88Tbit/s 





































































































注 1: 1 packet 按照 1500 个 字 节 换算 ，1M=1024k，1k=1024。 
注 2: 是 指 12.9Mbit/s 的 高 清 画 面 。 
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03.03 ”路 由 器 的 分 类 


03.03.01 路 由 器 设备 


路 由 器 的 功能 是 以 编译 CPU 上 运行 程序 的 软件 为 形式 提供 的 。 在 普通 的 个 人 计算 机 、 服 务 


顺 上 运行 的 通用 操作 系统 ， 





如 Windows、MacOS、UNIX、Linux 等 也 安装 有 路 由 器 运行 的 软件 ， 


这 就 使 个 人 计算 机 或 服务 器 设备 通过 运行 这 些 软件 也 能 作为 一 台 路 由 需 来 使 用 。 例 如 ，UNIX 操 
作 系统 配 备 了 标准 链 路 控制 程序 routed， 该 程序 使 用 RIP 协议 并 提供 了 路 由 选择 功能 。 
但 通常 所 说 的 路 由 器 还 是 指 安装 了 路 由 需 专 用 的 操作 系统 并 配 有 专用 硬件 的 设备 ， 这 样 的 设 























备 也 可 以 称 为 硬件 设备 。 








使 用 专用 的 硬件 设备 和 在 个 人 计算 机 或 服务 器 的 通用 操作 系统 上 运行 路 由 选择 软件 相 比 ， 有 


以 下 优点 。 


。 提供 更 为 容易 使 用 的 用 户 接口 。 


。 操作 简单 。 


e 即使 不 精通 技术 也 能 进行 简单 的 设置 。 
。 能 够 在 短 时 间 内 完成 加 载 。 
e 由 于 功能 定制 化 ， 系 统 能 够 较为 轻松 地 提供 高 吞吐 率 (throughput )。 


。 可 靠 性 更 高 。 


。 由 于 内 置 搭载 了 路 由 器 功能 ， 使 得 满足 最 低 需求 的 成 本 降低 。 


除了 路 由 融 以 外 ,交换机 和 防火 墙 也 算是 网 络 设备 。 
路 由 器 网 络 设备 的 产品 构成 如 图 3-6 所 示 。 每 个 部 件 的 详细 信息 请 参考 04.01 节 。 


路 由 器 设备 的 构成 部 件 结构 图 








CPU 
(ASIC、FPGA ) 
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作为 专用 设备 的 路 由 器 可 以 根据 用 途 和 规模 分 成 下 面 几 类 。 





03.03.02 根据 性 能 分 类 


目前 ， 市 场 上 由 不 同 厂商 生产 的 各 种 类 型 的 路 由 器 产品 ， 根 据 性 能 可 以 分 为 高 端 路 由 需 
( high end router )、 中 端 路 由 咒 (middle range router ) 和 低 端 路 由 器 ( low router ) 三 种 ， 再 加 上 家 
电 专 卖 店 中 也 有 销售 的 、 价 格 低廉 的 家 用 宽带 路 由 需 (broad band router )， 共 可 以 分 成 四 种 类 型 
( 表 3-5 )。 

由 于 网 络 互联 是 世界 通用 的 技术 ， 因 此 只 要 电源 规格 合适 ， 不 管 是 哪 国生 产 的 路 由 器 均 能 
立刻 投入 使 用 。 从 整个 日 本 的 路 由 器 市 场 来 看 ， 家 用 宽带 路 由 器 和 低 端 路 由 器 占有 较 高 的 份额 ， 
而 在 高 端 、 中 端 路 由 器 中 ,海外 设备 厂商 尤其 是 思科 公司 和 Juniper 公司 的 产品 的 市 场 占 有 率 非 
常 高。 几乎 所 有 的 厂商 都 是 没有 工厂 的 企业 ， 实 际 产 品 是 通过 EMS ( Electronics Manufacturing 
Service， 电 子 制造 服务 或 专业 电子 代 工 服务 ) 代 工 企业 制造 的 。 

路 由 器 根据 种 类 的 不 同 ， 硬 件 规 格 也 大 相 径 庭 。 而 从 操作 系统 的 角度 来 看 ， 和 相同 制造 厂商 
同类 产品 配套 的 软件 虽然 基 会 提供 统一 的 基础 功能 ,但 是 。 也 会 有 一 部 分 功能 得 不 到 不 支持 ,一 
些 可 用 性 的 对 象 (参数 ) 不 太一 致 的 情况 。 







































































根据 路 由 器 性 能 的 分 类 


用 途 价格 区 间 
电信 运营 商 、 数 据 中 心 、 大 型 企业 的 核心 路 由 器 几 百 万 ~ 几 亿 
企业 的 中 心 ( 核心 ) 路 由 器 、 电 信和 运营 商 的 边缘 路 由 吕 100 万 ~300 万 
中 小 企业 数据 中 心路 由 器 、 大 型 企业 分 支 机 构 使 用 的 几 万 至 100 万 日 
器 


\ 规 模 机 构 、 家 庭 人 风 琅 

































































































































































































































































国 高 端 路 由 器 

高 端 路 由 器 的 性 能 最 好 ， 主 要 作为 骨干 网 络 中 的 核心 路 由 器 使 用 ， 在 数据 中 心 、IX ( Internet 
Exchange )、 电 信和 运营 商 网 络 中 完成 网 络 互 连 等 任务 。 

例如 ， 思 科 公 司 的 Cisco 12000 系列 、CRS-1，Juniper 公司 的 工 系列 、E 系列 、M 系列 和 
ALAXALA 公司 的 AX7800R 系列 就 属于 高 端 路 由 器 ， 其 价格 在 几 百 万 日 元 到 几 亿 日 元 2 之 间 。 

该 类 路 由 需 一 般 称 为 机 框 ( chassis ) 式 路 由 器 ， 带 有 可 以 插入 多 块 扩 展 卡 的 插 模 。 扩 展 卡 一 
般 有 多 种 类 型 ， 其 中 主要 有 路 由 引擎 ( routing engine )、 交 换 结 构 ( switch fabric )、 线 卡 等 。 


























中 即 无 生产 线 (Fabless ) 企 业 ， 厂 商 只 负责 相关 产品 的 设计 工作 。 
@ 约 十 几 万 至 上 千 万 人 民 币 。 译 者 注 





译 者 注 
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表 3-6 展示 了 机 框 式 路 由 器 的 主要 组 成 要 素 ， 这 些 组 成 要 素 一 般 被 称 为 模块 ( module )。 
GE 二 E33 机 框 式 路 由 器 的 组 成 要 素 
要 素 说 明 

路 由 引擎 ( Routing Engine ) 负责 路 协议 的 控制 。Cisco 公司 的 产品 将 该 要 素 称 为 路 
器 ( route processer ) 

交换 结构 ( Switch Fabric ) 负责 在 多 块 线 卡 之 间 进 的 内 部 总 线 结构 。 该 结构 性 能 的 不 同 ， 决 定 了 路 
发 数据 交换 容量 ) 的 大 小 

线 卡 ( Line Card ) 配备 了 数据 输 展 卡 

背 板 ( Backplane ) 提供 插入 路 由 引擎 、 线 卡 连 接 插 槽 的 底部 主板 ， 并 通过 串 行 线路 连接 各 个 线 卡 








机 框 式 路 由 器 的 架构 
详细 请 参考 03.08。 





线 卡 




















入 路 图 表 
分 国 B 
— 
吕 


假设 各 个 线 卡 之 间 连 有 路 径 ， 
卡通 过 查询 路 由 表 完 成 转发 
































线 卡 
Se 
2 国 三 -= 
— Eg 
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机 框 式 路 由 器 不 仅 可 以 控制 接口 的 数量 ， 还 可 以 增强 设备 的 交换 容量 ， 具 有 引擎 元 余 功能 。 

当 某 一 模块 发 生 故 障 时 ， 无 需 关闭 路 由 器 电源 ， 在 其 他 模块 仍 处 于 工作 的 状态 下 ， 只 替换 发 
生 故 障 的 扩展 卡 即 可 修复 。 这 种 对 处 于 工作 状态 的 路 由 器 进行 蔡 换 线 卡 或 其 他 模块 的 操作 ， 也 称 
为 热 插 拔 ( hot swapping ) 或 在 线 插 氢 
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设 带 有 输出 队列 的 
交叉 式 交 换 结构 
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高 端 路 由 器 实例 








思科 公司 ( CRS-1 ) Juniper 公 司 ( T640 ) 


中 端 路 由 器 

一 般 作 为 企业 的 中 心路 由 器 (center router )， 是 整个 企业 网 络 的 中 心 。 

中 端 路 由 器 一 般 分 为 两 类 。 一 类 是 在 机 框 上 配备 固定 数量 接口 的 机 型 ， 该 机 型 无 法 额外 添加 
端口 ， 称 为 “固定 式 ” 或 “ 箱 式 ”路 由 带 ; 而 男 一 类 是 能 够 插入 可 选 模块 进行 扩充 。 因 此 可 以 根 
据 所 需 的 接口 类 型 添加 对 应 端口 数量 的 机 型 ， 称 为 “模块 式 ” 路 由 需 。 

中 端 路 由 器 没有 像 高 端 路 由 器 那样 提供 路 由 引擎 的 元 余 功能 ， 但 是 配备 电源 元 余 的 产品 ， 即 
所 谓 的 高 可 靠 性 路 由 器 。 

中 端 路 由 器 的 价格 区 间 在 100 万 ~300 万 日 元 之 间 ， 在 日 本 国内 市 场 占有 一 定 份额 的 制造 三 
商 有 ALAXALA 公司 、 思 科 公 司 、Juniper 公司 、 富 士 通 、 上 古河 电气 工业 公司 等 。 









































中 端 路 由 器 实例 





| 
Juniper 公司 ( MX 系列 3D Universal Edge Router ) 


国 低 端 路 由 器 

该 类 路 由 器 属于 在 中 小 企业 或 大 型 企业 营业 部 、 或 分 支 机 构 里 配置 的 路 由 器 ， 也 称 为 普及 型 
路 由 器 。 该 类 路 由 器 同样 可 以 分 成 两 类 ， 即 可 以 改变 接口 类 型 或 添加 端口 数 的 模块 式 路 由 右 和 无 
法 改变 接口 类 型 和 端口 数 的 箱 式 路 由 器 。 

该 类 路 由 器 中 还 有 一 类 产品 无 法 插入 机 架 使 用 ， 叫 做 桌面 式 路 由 器 。 

从 主要 使 用 目的 来 看 ， 该 类 路 由 器 多 作为 运行 IPsec-VPN 的 终端 来 构建 虚拟 通信 网 络 。 

该 类 路 由 器 价格 区 间 在 100 万 日 元 以 下 ,在 日 本 国内 市 场 上 占有 一 定 份 额 的 制造 厂商 有 
Allied Telesis 公司 (以 下 简称 为 Telesis 公司 )、NEC 公司 、 思 科 人 公司、 富士 通 、 上 古河 电气 工业 公 
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司 、YAMAHA 等 。 


低 端 路 由 器 实例 





Telesis 公 司 ( CenterCOM AR570S ) YAMAHA ( RTX-3000 ) 


国 宽带 路 由 器 

一 般 小 规模 分 支 机 构 和 家 庭 在 连接 宽带 时 使 用 的 路 由 器 ， 也 可 以 称 为 远程 路 由 器 或 WAN 路 
由 器 。 

2012 年 销售 的 该 类 路 由 需 产 品类 型 ， 已 经 能 够 提供 IEEE 802.11n 无 线 标准 (最 大 吞吐 量 达 
到 300Mbit/s ) 和 1000BASE-T 双 绞 线 接口 ( 千 兆 以 太 网 的 有 线 LAN 标准 ) 等 ， 这 使 得 产品 的 实 
际 吞 吐 量 达 到 了 数 百 Mbit/s 到 1Gbit/s 不 等 。 

该 类 路 由 器 产品 的 价格 区 间 从 几 千 日 元 到 15000 日 元 不 等 。 其 中 NEC 公司 、Corega 公司 、 
Buffalo 公司 、IOData 公司 等 设备 公司 均 有 产品 在 日 本 市 场 上 销售 。 



































宽带 路 由 器 示例 


POWER 


RCTWE 


NEC 
( Aterm PA-WR8165N-ST ) 


03.03.03 面向 电信 运营 商 的 路 由 器 产品 分 类 





NTT、KDDI 这 类 电 电信 运营 商 在 面向 企业 和 个 人 消费 者 提供 构建 网 络 服务 时 ， 需 要 提供 
的 网 络 结构 规模 比 企 业 自 身 构建 的 更 大 ， 对 路 由 器 产品 功能 与 性 能 的 要 求 也 就 更 加 复杂 。 从 电 
信和 运营 商 的 角度 分 类 ， 可 以 将 这 些 路 由 器 归 类 于 面向 网 络 服务 供应 商 的 路 由 器 ( Service Provider 
Router ) "， 而 根据 路 由 器 在 网 络 内 的 位 置 可 以 分 成 以 下 几 类 。 

















译 者 注 





@ 这 里 的 Service Provider 可 以 简单 地 理解 成 中 国电 信 等 运营 商 的 宽带 网 。 
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国 核心 路 由 器 

核心 路 由 器 ( Core Router ) 位 于 骨干 网 (backbone ) 中 ， 用 来 构成 核心 网 络 ( core network )。 
核心 网 络 用 于 各 个 业务 网 络 (service network ) 的 互联 ， 承 担 着 高 速 转 发 各 个 网 络 之 间 通 信 流 量 的 
任务 。 








国 边缘 路 由 器 

边缘 路 由 器 (Edge Router， 供 应 商 之 间 的 边界 路 由 器 ) 是 指 在 骨干 网 边缘 配置 的 路 由 器。 承 
担 着 容纳 用 户 网 络 线路 、 连 接骨 干 网 的 任务 。 由 于 需要 容纳 众多 用 户 的 网 络 线路 ， 因 此 该 路 由 器 
不 仅 要 做 到 分 组 的 高 速 中 继 转 发 处 理 ， 还 要 完成 控制 分 组 的 优先 级 、 分 组 过 滤 、 认 证 、 加 密 等 多 
项 重要 的 处 理 。 





国 用 户 边缘 路 由 器 
用 户 边缘 路 由 天 (subscriber edge router ) 是 在 用 户 ( 订阅 者 ) 网 络 处 配置 的 路 由 融 ， 用 于 连 
接 服务 供应 商 的 边缘 路 由 器 。 


服务 供应 商 的 网 络 与 路 由 器 的 位 置 
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核心 路 由 器 ” 边缘 路 由 器 


























03.03.04 ”面向 企业 的 路 由 器 产品 分 类 


在 大 型 企业 和 网 络 公 司 管理 的 大 规模 网 络 中 ,存在 很 多 作为 网 络 构成 要 素 的 路 由 器 。 根 据 网 
络 内 所 处 位 置 与 分 工 的 不 同 ， 这 些 路 由 需 可 以 分 为 如 下 几 类 。 
面向 企业 的 路 由 器 也 可 以 称 为 企业 级 路 由 需 ( Enterprise Router )。 
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国 接 入 路 由 器 

距离 用 户 最 近 位 置 的 路 由 器 称 为 接 入 路 由 器 ( Access Router )， 意 思 就 是 保障 用 户 接 入 所 需 
网 络 的 路 由 器 ， 通 过 接 人 路 由 需 构 成 的 网 络 也 称 为 接 入 网 。 接 入 路 由 器 提供 认证 、 接 和 人 控制 等 功 
能 , 一般 部 署 在 企业 的 分 支 机 构 或 下 属 部 门 中 。 

有 时 为 了 在 自己 家 中 或 出 差 时 能 够 接 入 公司 的 网 络 而 使 用 远程 接 入 路 由 带 ， 这 也 是 接 入 路 由 
器 的 一 种 ， 这 类 网 络 使 用 拨号 连接 、PPTP、IPsec、SSL 等 协议 通过 VPN 完成 整个 接 入 过 程 。 























国 汇聚 路 由 器 

在 规模 很 大 的 网 络 中 ， 往 往 会 在 核心 网 络 和 接 入 网 络 之 间 构 建 一 个 汇聚 网 络 ( Distribution 
Network )， 形 成 3 层 网 络 结构 。 汇 聚 路 由 器 ( Distribution Router ) 负责 在 汇聚 网 络 中 汇聚 接 人 网 
的 路 由 选择 信息 ， 完 成 分 组 过 滤 等 工作 ， 从 而 进行 多 个 网 络 或 VLAN 之 间 的 连接 。 











国 核心 路 由 器 

核心 (core ) 表示 位 于 中 心 ， 核 心路 由 需 (Core Router ) 也 就 是 配置 在 网 络 中 心 位 置 的 路 由 
器 。 使 用 核心 路 由 器 构建 起 来 的 核心 网 主要 负责 高 速 传送 与 接 人 网 或 汇聚 网 之 间 的 通信 数据 。 虽 
然 目 前 也 有 不 少 企业 自 建 核心 网 ， 但 大 多 数 企 业 还 是 向 电信 运营 商 支 付 一 定 的 月 租 费 通过 租用 线 
路 来 构建 。 


各 个 生产 商 提供 的 面向 企业 的 路 由 器 产品 *' 













































































































































































































































































Cisco Systems Juniper Networks ALAXALA Networks YAMAHA 
面向 网 络 服务 供应 商 | CRS-1 T1600 AX7800R — 
核心 路 由 器 产品 ( 高 T640 ( 768Gbit/s/ 
端 路 由 器 ) T320 480Mpps ) 
向 网 络 服务 供应 商 | Cisco12000 X960 AX7702R 一 
边缘 路 由 器 产品 ( 高 | Cisco10000 X480 ( 96Gbit/s/ 
端 路 由 器 、 中 端 路 Cisco7600 X240 30Mpps ) 
器 ) Cisco7300 X80 
Cisco7200 320 
Cisco ASR9000 120 
CiscoASR1000 40e 
Cisco XR 12000 10i 
7i 
面向 中 小 企业 的 路 Cisco ISR 3800 J6350 一 RTX3000 
器 ( 中 端 路 由 器 、 低 端 | Cisco ISR 2900 J4350 RTX1500 
路 由 器 ) Cisco ISR 1900 J2350 RTX1200 
Cisco ISR 800 J2320 RTX1100 




















一 


: 思科 公司 的 路 由 器 名 称 为 产品 系列 名 称 ， 其 余 公司 的 为 产品 型 号 名 称 。 


注 
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罩 拨号 路 由 器 

个 人 计算 机 等 设备 通过 电话 线路 接 入 网 络 的 方式 称 为 拨号 连接 ( dial-up )。 在 20 世纪 80 年 
代 个 人 计算 机 普及 时 ， 以 及 20 世纪 90 年 代 中 期 商业 互联 网 服务 开始 时 ， 拨 号 连接 非常 流行 ， 只 
要 有 电话 线路 的 地 方 就 能 连 入 互联 网 。 

目前 ， 由 于 光纤 、ADSL 等 宽带 接 入 技术 占据 主导 地 位 ， 家 里 几乎 不 再 使 用 拨号 上 网 。 

拨号 路 由 需 ( Dial-up Router ) 配备 了 WAN 侧线 路 连接 的 ISDN 动态 适 配 需 ， 可 以 用 64kbits 或 
128kbit/s 的 速率 连接 互联 网 。 也 有 配备 了 多 个 SOHO2 所 需 的 LAN 侧 接口 , 可 以 直接 连接 终端 的 
产品 。 

与 目前 使 用 的 长 时 间 在 线 网 络 服务 不 同 ， 拨 号 上 网 需要 和 电话 一 同 使 用 ， 并 根据 使 用 时 间 和 
长 短 来 计 费 。 因 此 该 类 路 由 器 会 配备 一 种 功能 ， 即 仅 在 需要 连接 互联 网 时 自动 连接 ， 如 果 在 一 
时 间 内 没有 通信 和 则 自动 断 开 网 络 ， 节 省 通信 费用 。 

从 1994 年 Bekkoame Internet 公司 2? 开始 向 个 人 提供 互联 网 接 人 服务 后 ， 逐 步 开 始 有 了 固定 
费用 的 、 拨 号 上 网 的 全 接 入 服务 。 


到 YAMAHA 的 NVR500 





























YAMAHA 























ISDN S 厅 接 电话 线路 
ISDN U 接 
































中 ”在 国内 ， 由 于 该 类 产品 采用 了 ISDN 等 宽带 接 入 技术 费用 高 晶 ， 存 在 时 间 很 短 ， 因 此 消费 者 很 难 见 到 。 译 者 注 
@ 即 Small Office Home Office， 家 居 办 公 。 大 多 指 那些 专门 的 自由 职业 者 。 译 者 注 


@ 在 日 本 面向 个 人 提供 互联 网 接 入 服务 的 公司 ， 类 似 于 中 国 的 长 城 宽带 等 网 络 公司 。 








译 者 注 
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拨号 路 由 器 的 架构 
ISDN 线 路 或 高 速 数据 专 

















































ISDN U 接 口 端 


























路 由 器 功能 

















MDI 与 MDI-X 可 以 切换 


























ee 个 人 计算 机 个 人 计算 机 





国 宽带 路 由 器 、 内 置 ADSL 调制 解 调 器 的 路 由 器 

2000 年 前 后 ， 拨 号 路 由 器 的 名 称 逐 步 被 宽带 路 由 器 代替 。 随 着 xDSL、FTTH ( 光纤 到 户 ) 等 
宽带 接 和 人 技术 的 发 展 ， 市 场 上 出 现 了 内 置 ADSL 调制 解 调 器 和 ONU ( 光 网 络 终端 装置 )、 使 用 
PPPoA 或 PPPoE 协议 就 可 以 连接 电信 运营 商 网 络 的 路 由 器 。 

该 类 路 由 器 在 家 电 专 卖 店 的 售 价 为 几 千 至 1 万 日 元 左右 。 











国 移动 路 由 器 

在 出 差 或 外 出 时 用 于 连接 互联 网 的 便携 式 路 由 器 也 可 以 称 作 移动 路 由 需 (Mobile Router )。 
该 类 路 由 器 外 形 小 巧 便捷 ， 有 的 产品 配备 了 有 线 LAN 端口 和 无 线 LAN 接 和 点， 有 的 产品 可 以 通 
过 USB 接口 或 数据 通信 卡 连接 移动 电话 网 、 PHS”、WiMAX 等 无 线 网 络 的 调制 解 调 器 , 还 有 的 产 
品 集成 了 数据 通信 卡 和 路 由 需 的 两 种 功能 。 


























QD 在 国内 称 为 小 灵通 。 





译 者 注 
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03.04 ”路 由 器 产品 目录 说 明 





路 由 器 硬件 产品 的 相关 规格 介绍 如 表 3-8 所 示 。 另 外 ， 宽 带路 由 器 的 产品 目录 说 明 书 可 参照 
表 3-9。 


全 到 Eg9) 路 由 器 产品 目录 的 主要 规格 说 明 












































































































































































































































































































































规格 要 素 说 明 范例 
尺寸 (高 x 宽 x 深 ) | 路 由 器 机 框 的 大 小 8.9x44.1x37.6cm 
机 架 高 度 机 架 插 入 式 路 由 器 的 高 度 ， 即 占用 多 少 个 Unit 2U 
重量 ( 满 配 时 ) 产品 的 重量 ， 会 告知 是 否 包 含 了 接口 卡 等 可 选 模 块 的 重量 10.2kg 
装载 方法 说 明 整 机 是 否 能 够 载 入 ( 配置 安装 于 ) 19 英寸 或 23 英寸 的 机 架 装载 19 英寸 机 架 
物理 端口 组 成 说 明 路 由 器 配备 了 多 少 个 物理 端 接口 ) 和 类 型 2x10/100/1000BASE-T 
2xBRI 
接口 卡 插 村 插入 可 选 接口 卡 的 插 槽 数目 。 一 般 一 块 接口 卡带 有 1 个 或 多 个 物 | 1 组 
理 端 
电源 规格 电源 一 般 分 为 AC ( Alternating Current， 交 流 电 ) 和 DC ( Direct 
Current， 直 流 电 ) 两 类 。 也 有 小 型 路 由 器 会 配备 AC 电源 适配器 




















































































































































































































































































































































































































AC 输入 电压 AC 电源 在 规格 范围 内 输入 的 电压 额定 值 或 额定 范围 。 日 本 一 般 | 100~240VAC 
使 用 的 电压 为 单 相 100V， 但 是 为 了 与 世界 接轨 ，AC 输入 电压 的 
范围 普遍 是 100~240V 
AC 输入 频率 AC 电源 对 应 的 输入 频率 。 日 本 东部 采用 的 是 50Hz， 西 部 采用 的 | 47~63Hz 
是 60Hz 
AC 输入 电流 AC 电源 中 的 电流 数值 。 可 以 通过 公式 计算 : 消耗 电能 > (输入 | 3A (110V ) 
电压 x 功率 x 转化 率 ) 2A ( 230V ) 
DC 输入 电压 DC 电源 对 应 的 输入 电压 -48VDC ( 额定 ) 
DC 输入 电流 DC 电源 中 的 电流 数值 。 可 以 通过 公式 计算 : 消费 电能 + 输入 电压 | 最 大 15A ( 额定 -48VDC ) 
输出 功率 
消耗 电能 表示 产品 消耗 的 电能 。 有 时 会 分 别 标明 平均 消费 电能 和 最 大 消费 电 | 52W ( 177 BTU/hr ) 
能 
环境 规格 
运行 温度 产品 运行 时 需要 保证 的 温度 0°C ~40°C 
非 运行 时 的 温度 保管 非 运 行 状态 的 产品 所 需要 的 温 / —40°C ~70°C 
运行 湿度 产品 运行 时 需要 保证 的 湿度 5%~85% (不 会 结 露 ) 



































Q 我 国 使 用 的 是 220V。 译 者 注 
@ 我 国 使 用 的 是 50Hz。 译 者 注 
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噪音 产品 运行 时 发 出 的 噪音 强度 50dBa 
认证 
安全 认 订 显示 硬件 通过 的 安全 认证 e UL 60950 
e CAN/CSA 
® C22.2 No.60950 
® EN 60950 
® AS/NZS 60950 





EMC ( Electromagnetic 




















保证 产品 没有 电磁 辐射 或 有 电磁 辐射 但 不 



































会 影响 操作 以 致 造成 失 


® 47 CFR,Part 15 




































































































































































































































































































































































Compatibility， 电 磁 兼 容 | 误 的 认证 信息 ® |ICES-003 Class A 
性 ) ® EN55022 Class A 
® CISPR22 Class A 
® AS/NZS 3548 Class A 
® VCCI V-3 
® EN 300386 
® EN 61000 
Telcom 表示 符合 电气 通信 和 无 线 通 信 的 相关 规范 ® 47 CFR,Part 68 
® TIA/EIA/IS-968 
e CS-03 
® R&TTE Directive 
宽带 路 由 器 规格 的 说 明 
项 目 内 容 范例 说 明 
规格 IEEE 802.3ab ( 1000BASE-T ) 表示 有 线 LAN 使 用 的 标准 名 称 。 如 果 是 
IEEE 802.3u ( 100BASE-TX ) 以 太 网 的 话 ， 这 里 内 容 基本 相同 ， 
IEEE 802.3 ( 10BASE-T ) 持 到 千 浪 以 太 网 为 止 
对 应 协议 TCP/IP 表示 能 够 处 理 TCP/IP 协议 标准 的 分 组 
传输 信号 的 编码 方式 8B1Q4/PAMS5 ( 1000BASE-T ) 表示 有 线 LAN 中 线路 传输 的 编码 方式 。 
4B5B/MLT-3 ( 100BASE-TX ) 以 太 网 时 表示 的 内 容 如 范例 所 示 ( 参考 
曼彻斯特 编码 ( 10BASE-T ) 01.03 节 ) 
传输 速度 10M/100M/1000Mbit/s ( 自 适 应 ) 通过 自 适 应 功能 自动 选择 适合 的 传输 速度 
接 入 方式 CSMA/CD 采用 CSMA/CD 方式 接 入 有 线 LAN 
WAN 处 IP 的 获取 方式 | 手动 /DHCP/PPPoE 能 够 通过 手动 设置 、DHCP 或 PPPoE 协 
议 从 WAN 端口 处 获得 IP 地 址 
端口 数 WAN 侧 1 个 端口 (对 应 AUTO-MDIX ) 表示 端口 数目 。 一 般 LAN 侧 提供 四 
LAN 侧 4 个 端口 ( 对 应 AUTO-MDIX ) 。 会 标明 是 否 对 应 Auto-MDIX 
接头 形状 RJ-45 类 型 8 极 接头 表示 人 的 是 8pin 的 RJ-45 接头 
安全 Stateful Packet Inspection ( SPI )、 分 组 过 滤 ( Packet | 参照 第 5 章 
Filtering )、VPN Multi-Passthrough ( 即 PPTP ) 
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( 续 ) 
项 目 内 容 范例 说 明 
电源 AC100V 50/60Hz AC100V 表示 内 置 型 电源 ，DC5V 中 出 现 
的 DC 字样 表示 通过 AC 电源 适配器 供电 
消耗 电能 最 大 14W 表示 设备 在 启动 时 和 NDR ( 参考 07.04 
节 ) 分 组 处 理 时 消耗 的 电能 最 大 
外 形 尺寸 W165 x H158 x D30mm 表示 路 由 器 的 尺 二 
重量 338g 表示 路 由 器 的 重 
运行 环境 温度 0%C ~40°C 表示 路 由 器 在 该 温度 、 湿 度 范围 内 能 够 
湿度 20%~80% 正常 工作 。 在 此 范围 之 外 ， 无 法 保证 路 
器 能 够 正常 工作 
宽带 路 由 器 一 般 在 WAN 侧 有 1 个 端口 , 在 LAN 侧 有 3~5 个 RJ-45 端口 。LAN 侧 的 多 个 端 
口 之 间 可 以 像 交 换 机 那样 进行 桥接 ， 因 此 也 可 以 在 多 个 端口 之 间 仅 分 配 一 个 IP 地 址 。 








03.05 IP 路 由 选择 的 基础 知识 


03.05.01 “IP 地 址 管理 


国 复习 IP 地 址 

了 协议 存在 Pv4 和 IPv6 之 分 ， 二 者 没有 互 换 性 ， 地 址 的 表示 方式 也 大 相 径 庭 。 

IPv4 地 址 是 采用 类 似 192.168.0.12 的 形式 ， 用 点 “.” 将 地 址 分 成 4 个 部 分 ， 并 使 用 十 进 制 数 
字 表 示 的 32bit 的 值 。 因 此 每 个 部 分 的 长 度 都 是 8bit， 可 以 用 0~255 的 数字 来 表示 。 





。 地 址 分 类 与 自然 掩 码 

IPv4 地 址 中 前 三 类 地 址 网 络 部 分 与 主机 部 分 的 bit 位 数 是 分 配 好 的 。A 类 地 址 的 范围 是 
0.0.0.0~127.255.255.255， 其 中 8bit 表示 网 络 部 分 ， 剩 余 24bit 表示 主机 部 分 。B 类 地 址 的 范围 是 
128.0.0.0~191.255.255.255， 其 中 使 用 16bit 表示 网 络 部 分 ，16bit 表示 主机 部 分 。C 类 地 址 的 范围 
是 192.0.0.0~223.255.255.255， 其 中 使 用 24bit 表示 网 络 部 分 ，8bit 表示 主机 部 分 。 

另外 还 有 用 于 多 播 的 、 范 围 是 224.0.0.0~239.255.255.255 的 D 类 地 址 ， 和 用 于 研究 的 、 范 围 
是 240.0.0.0~255.255.255.255 的 卫 类 地 址 。 




















e CIDR 与 子 网 掩 码 
CIDR ( Classless Inter-Domain Routing， 无 类 别 域 间 路 由 ) 不 再 采用 以 往 的 地 址 分 类 ， 而 是 基 
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于 可 变 长 子 网 掩 码 进行 任意 长 度 的 IP 地 址 前 级 ， 即 网 络 部 分 的 分 配 (可 变 长 子 网 掩 码 在 RFC950 
标准 中 定义 了 详细 内 容 )。 以 往 的 地 址 分 类 只 能 将 网 络 部 分 分 成 24bit、16bit 或 8bit 三 种 ， 而 通过 
CIDR 进行 任意 长 度 的 分 配 后 ， 主 机 部 分 也 可 是 任意 长 度 ， 于 是 出 现 了 新 的 子 网 掩 码 。IP 地 址 的 
网 络 部 分 也 可 以 称 为 前 缀 ( prefix )， 网 络 部 分 的 长 度 通 常 以 “前 级 长 度 为 Nbit” 的 形式 来 表述 ， 
而 前 级 则 通过 子 网 扼 码 来 表示 。 子 网 掩 码 和 了 IP 地 址 一 样 分 成 4 个 部 分 、 由 十 进 制 表示 ， 如 果 网 
络 部 分 的 长 度 为 24bit， 子 网 掩 码 则 为 255.255.255.0。 和 了 P 地 址 不 同 的 是 ， 当 使 用 二 进 制 表示 时 ， 
子 网 掩 人 码 一 定 是 以 连续 的 1 开始， 以 连续 的 0 结束 。 另 外 ， 使 用 CIDR 的 表示 法 时 ， 还 可 以 在 
IP 地 址 后 面 添加 斜 线 “/” 和 表示 子 网 的 bit 数 。 例 如 卫 地 址 为 10.1.1.1， 子 网 掩 码 为 255.255.0.0 
时 ， 可 以 记 为 10.1.1.1/16。 

不 使 用 CIDR，A 类 地 址 到 C 类 地 址 仍然 使 用 8bit、16bit 和 24bit 来 表示 网 络 部 分 的 子 网 掩 
但 ， 也 称 为 自然 手 码 (natural mask )。 

使 用 分 类 地 址 称 为 有 类 路 由 选择 ( classful )， 使 用 无 类 地 址 则 称 为 无 类 路 由 选择 ( classless )。 

网 络 部 分 相同 的 IPv4 地 址 可 以 认为 它们 归属 同一 子 网 。 





























e 私有 地 址 与 全 局 地 址 

由 于 卫 v4 中 地 址 枯竭 的 问题 ， 出 现 了 只 在 组 织 内 部 网 络 ( intranet ) 中 使 用 的 IP 地 址 ， 即 私 
有 地 址 ( private address )。 私 有 地 址 在 RFC1918 中 定义 了 详细 信息 ， 并 针对 每 个 地 址 分 类 提供 了 
不 同 的 地 址 范围 ， 以 供 不 同 规模 的 内 部 网 络 选 择 ( 表 3-10 )。 


私有 地 址 范围 





























地 址 分 类 私有 地 址 范围 
A 类 地 址 10.0.0.0~10.255.255.255 ( 10.0.0.0/8 ) 
B 类 地 址 172.16.0.0~172.31.255.255 ( 172.16.0.0/12 ) 
C 类 地 址 192.168.1.0~192.168.1.255 ( 192.168.1.0/24 ) 














A 类 地 址 到 C 类 地 址 中 ， 除 了 私有 地 址 外 的 所 有 地 址 都 称 为 全 局 地 址 (global address )。 如 
果 要 在 互联 网 上 使 用 全 局 地 址 ， 需 要 在 ICANN 下 属 的 Internet Registry" 机 构 中 注册 。 
e 单 播 、 广 播 、 多 播 、 任 播 

IP 地 址 也 可 以 按照 拓扑 结构 分 类 ， 如 表 3-11 所 示 。 





@ 可 以 理解 为 互联 网 登记 处 。 





译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 














03.05 IP 路 由 选择 的 基础 知识 | 141 

















IP 地 址 的 拓扑 结构 分 类 


单 播 ( Unicast ) 向 特定 IP 地 址 的 1 台 主 机 | IPv4 地 址 中 使 
发 送 数 据 类 、C 类 地 址 












































广播 ( Broadcast ) 向 网 段 内 不 定 的 多 个 通信 255.255.255.255 或 
对 端 发 送 数据 主机 部 分 全 为 1 的 地 址 
92.168.1.255/24 ) 


















































多 播 ( Multicast ) 用 专用 IP 地 址 向 多 个 通 D 类 地 址 
言 对 端 发 送 相 同 的 数据 
































任 播 ( Anycast ) 只 在 最 初 发 送 多 份 数据 ， 在 IPv6 中 存在 
随后 仅 和 最 近 ( 响应 时 间 
最 快 ) 的 主机 继续 通信 。 





























IPv6 地 址 的 值 增 加 到 了 128bit， 用 冒号 “: ”将 地 址 分 成 八 个 部 分 ， 每 个 部 分 长 16bit， 
使 用 十 六 进 制 数字 ( 从 0000 到 FFFF ) 表示 。IPv6 地 址 有 条 简写 规则 ， 即 前 导 并 连续 的 0 可 
以 省 略 。 


IPv6 的 全 局 地 址 、 私 有 地 址 、 广 播 地 址 、 多 播 地 址 和 任 播 地 址 
IPv6 地 址 FE80:0000:0000:0000:30AB:0000:008D:6AD5 


FE80 : 0000 : 0000 : 0000 : 30AB : 0000 : 008D : 6AD5 
每 个 地 址 块 中 前 导 并 连续 的 0 可 以 省 略 ， 

全 为 0 的 地 址 块 保留 一 个 0 
FE80 : 0 . 0 BE 0 : 30AB : 0 : 8D : 6AD5 
单个 或 连续 的 只 有 0 组 成 的 地 址 块 可 以 用 “: : 
来 代替 ( 但 整个 地 址 中 只 能 有 一 个 “: : ”) 
FE80 : : 30AB : 0 : 8D : 6AD5 





















































该 区 域 可 以 该 区 域 则 不 能 
省 略 全 0 的 部 分 “省 略 全 0 的 部 分 




















e 能 够 设置 IP 地 址 的 接口 

IP 地 址 是 在 OSI 参考 模型 的 网 络 层 上 使 用 的 逻辑 地 址 。 从 管理 接口 能 够 手动 设置 表 3-12 所 
列 的 接口 类 型 。MAC 地 址 属于 数据 链 路 层 使 用 的 物理 地 址 ， 该 地 址 与 每 个 物理 接口 一 一 对 应 ， 
因此 无 法 变更 ， 也 不 会 存在 重复 的 地 址 。 
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表 3-12 
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能 够 设置 IP 地 址 的 接口 





名 称 


说 明 
































够 进 和 


丁 L3 处 理 的 物理 接 














o 在 交换 机 端口 中 , 1 个 交换 机 虽然 能 够 携带 多 个 物理 


























能 
端口 ， 但 也 可 以 仅 





分 配 一 个 IP 地 址 。 当 链 路 没有 连通 时 ， 该 IP 地 址 不 可 达 





























( loopback interface ) 





























路 由 器 用 来 表示 
Pv6 记 为 











自己 本 身 的 虚 


拟 接口 。 个 人 计算 机 中 IPv4 一 般 记 为 “127.0.0.1 























“1"。 另 外 ， 也 可 








到 路 

















WK -~ 


以 设 定 多 个 环 回 接口 。 一 般 在 链 路 联通 时 ， 该 虚拟 














器 所 带 的 任意 一 个 物理 接口 均 是 可 达 的 






































VLAN 接 














在 可 以 进行 VLAN 间 路 



































选择 设置 的 路 由 器 中 ， 为 每 个 VLAN 分 配 IP 地 址 时 所 使 






























































。 思科 公司 的 路 























器 将 该 接口 称 为 SVI ( Switched Virtual Interface， 交 


























( aggregate interface ) 


3 
措 虚 拟 接 口 ) 
等 萄 理 接 口 进行 链 路 汇聚 ( 参考 02.08 节 ) 而 形成 的 逻辑 接 
























































子 接口 ( sub interface ) 

















Re 
户 











AN ID 将 一 个 物理 接 





























分 割 成 多 个 带 标签 的 逻辑 接口 时 ， 这 些 逻 辑 接 口 就 称 




















， 表 述 方式 如 ethernet1/1.1， 用 点 “ 























.” 来 分 隔 主 接口 和 子 接 


























辅助 地 址 ( secondary address ) 




















器 中 可 以 配 





IP 地 址 的 接口 存在 2 个 (或 2 个 以 上 ) 时 ， 可 以 同时 分 配 不 









































也 址 ， 这 时 第 2 个 地 址 称 为 辅助 地 址 。 该 地 址 可 以 用 于 网 络 迁徙 或 网 络 管理 


















































e 访问 列表 与 NAT 
路 由 需 在 转发 或 丢弃 分 组 时 会 使 用 访问 列表 (access list ) 来 进 
作 。 而 将 分 组 从 私有 地 址 转发 到 全 局 地 址 ， 


功能 的 详细 信息 可 参考 05.07 节 。 


e ARP 表 管 理 





行 分 组 的 过 滤 ( ee 





进行 地 址 转换 操作 时 ， 则 会 使 用 NAT 技术 。 这 两 


ARP 是 通过 IPv4 地 址 获取 MAC 地 址 的 网 络 协议 。 路 由 需 在 发 送 IP 分 组 时 ， 会 用 ARP 解 
析 以 太 网 数据 帧 所 需要 的 目的 地 MAC 地 址 。 负 责 使 用 ARP 解析 的 路 由 器 在 收 到 该 请 求 后 ， 会 
向 网 络 内 其 他 的 路 由 器 或 主机 发 出 


IP 地 址 的 设备 会 做 出 如 
时 执行 ARP 的 话 效率 会 
的 ARP 表 中 。 但 是 表 项 不 会 





类 似 这 样 的 询问 消息 











“ 谁 有 IP 地 址 192.168.1.254 ?” 而 持 有 该 


“192.168.1.254 是 00:00:00:0f:12:34:56” 这 样 的 应 答 。 由 于 在 转发 IP 分 组 
会 很 低 ， 因 此 一 旦 ARP 解析 完成 ， 会 将 解析 结果 以 表 项 的 形式 保存 在 设备 
永久 保存 ， 而 是 有 一 定 的 时 限 ， 








该 时 限 称 为 Age Time (老化 时 间或 





生存 时 间 )， 超 时 后 会 再 次 解析 ARP。 另 外 ，ARP 表 是 以 每 个 网 络 接口 为 单位 保存 的 。 


对 于 无 法 使 





日 ARP 的 硬件 或 那些 经 


常 使 用 相同 IP 地 址 的 服务 器 而 言 ， 由 于 无 法 通 


过 广播 的 


方式 完成 ARP 解析 ， 因 此 也 可 以 由 网 络 管理 人 员 在 ARP 表 中 手动 添加 对 应 ARP 表 项 。 


eDHCP 


DHCP (Dynamic Host Configuration Protocol， 








RFC2132 中 定义 ， 
等 信息 的 网 络 协议 。 











是 为 主机 (客户 端 ) 自动 配置 IP 地 址 、 子 网 、 域 名 、DNS 服务 右 、 


动态 主机 配置 协议 ) 协议 在 RFC2131 与 
默认 网 关 
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路 由 融 的 DHCP 功能 主要 分 为 三 个 方面 。 首 先是 作为 DHCP 服务 顺 为 客户 端 分 配 IP 地 址 的 
“DHCP 服务 器 功能 "。 其 次 是 作为 DHCP 客户 端 从 其 他 DHCP 服务 器 中 获取 IP 地 址 的 “DHCP 
客户 端 功 能 "”。 最 后 是 在 DHCP 服务 器 和 客户 端 之 间 完 成 中 继 广 播 消 息 的 DHCP 中 继 代理 功能 








(Relay Agent )。 


使 用 路 由 需 的 DHCP 服务 器 功能 时 ， 个 人 计算 机 (DHCP 客户 端 ) 可 以 通过 图 3-16 的 流程 
自动 从 路 由 器 (DHCP 服务 器 ) 处 获取 耳 地 址 。 如 果 手 动 设置 每 台 计算 机 的 IP 地址 ， 过 程 会 非 
常 麻烦 ， 而 且 必 须 考 虑 到 不 能 分 配 重 复 的 卫 地 址 。 而 使 用 DHCP 则 可 以 指定 分 配 的 IP 地 址 所 在 


























型 的 路 由 需 都 支持 DHCP 服务 器 功能 ， 其 中 也 包括 家 用 的 宽带 路 由 器 。 
DHCP 连接 流程 








相同 广播 域 中 

















DHCP 网 段 内 其 他 DHCP 服 务 器 1 “DHCP 服务 器 2 
客户 端 客户 端 (OMG WOMI SA 





DHCPOFFER (yiaddr =10.1.1.5) |@ 
DHCPOFFER |@, 








< 


DHCPREQUEST (Requested IP Address = 10.1.1.5， 
server identifier = 10.1.1.253) ys 


@ 





>| >| 


DHCPACK 











中 客户 端 对 网 段 内 广播 DHCPDISCOVER 消 息 

(@@ DHCP 服 务 器 在 网 络 内 广播 DHCPOFFER 消 息 

G@) 客户 端 在 网 络 内 广播 DHCPREOUEST 消 息 

多 在 接收 了 DHCPACK 消 息 后 ， 客 户 端 就 能 使 用 所 分 配 的 I|P 地 址 ( 10.1.1.5 ) 

































































e。 PPPoE 





的 范围 <?>, 自动 完成 在 该 范围 内 的 地 址 分 配 , 同时 也 可 以 自动 为 默认 网 关 分 配 地 址 。 几 乎 所 有 类 


PPPoE ( PPP over Ethernet ) 即 以 太 网 上 的 点 对 点 协议 ， 是 在 LAN 上 完成 用 户 认 证 并 分 配 IP 
地 址 的 网 络 协议 。 另 外 ， 使 用 PPPoE 协议 也 能 提供 网 络 接 人 服务 ， 使 设备 接 人 互联 网 服务 供应 














商 的 网 络 、 享 受 FTTH、ADSL 等 长 时 间 在 线 网 络 服务 。 
该 协议 由 RFC2516 定义 ， 图 3-17 列 出 了 处 理 流 程 。 














有 些 路 由 融 能 够 提供 多 PPPoE 会 话 功能 ， 即 能 够 使 用 多 个 PPPoE 实例 。 这 时 ， 用 户 可 以 通 
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过 路 由 需 同 时 接 和 人 两 个 以 上 的 互联 网 服务 供应 商 网 络 ， 从 而 使 连接 互联 网 的 线路 负载 均衡 、 双 线 
匈 余 ( multi-homing， 也 可 称 为 多 重 连接 )。 


PPPoE 连接 流程 














终端 设备 IP 通 信和 网 
二 PADI 、 
PPPoE 发 现 阶 段 < PADO 
PADR a 
Eu PADS 





PPPoE PPP 
会 话 阶段 开始 











二 所 Configure-Request 





Configure-Ack 
LCP 分 组 Configure-Request 
Configure-Ack 


依据 CHAP/PAP 进 行 认 证 的 阶段 认证 成 功 
































Configure-Request 后 





Configure-Ack 




























































































> 
@® Configure-Request y 
IPCP 分 组 Configure-Nak 7 
于 < (OO 
® Configure-Request 六 
一 Configure-Ack 
(9)|* 
站 始 IP 通 信 
过 条 
@ 开始 建立 PPPoE 会 话 (@) 请 求 终端 设备 所 使 用 的 IP 地 址 
@ 建立 PPPoE 会 话 (2 返回 分 配给 终端 设备 的 IP 地 址 信息 
@@) 开始 建立 PPP 会 话 (@ 告知 终端 设备 所 接收 的 IP 地 址 信息 
@ 请 求 认证 协议 @ 建立 PPP 会 话 








@@) 告知 |P 通 信 网 络 侧 的 I|P 地 址 


03.05.02 IIP 路 由 选择 


ee 的 IP 分 组 中 目的 地 址 信息 ， 从 路 由 表 中 选择 最 适合 的 路 径 ， 并 选择 从 
哪个 网 路 接口 转发 ， 这 一 系列 过 程 称 为 路 由 选择 ， 对 IP 分 组 进行 路 由 选择 操作 就 称 为 IP 路 由 
选择 。 

IP 路 由 选择 可 以 分 为 针对 单 播 通信 的 单 播 IP 路 由 选择 和 针对 多 播 通信 的 多 播 IP 路 由 


选择 。 
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03.05.03 ”路 由 表 





路 由 表 ( routing table ) 包含 了 路 由 选择 的 必 备 信息 ， 主 要 由 以 下 各 项 组 成 。 


1. 目 的 地 人 * 地址 (Destination Address ) : 耻 分 组 的 目的 地 址 。 

2. 子 网 掩 码 ( Subnet Mask 或 Network Mask ) : 表示 目的 地 IP 地 址 中 有 多 少 bit 表示 网 络 部 
分 。1 与 2 组 合 起 来 能 够 表示 目标 子 网 络 信息 。 

3. 网 关 (Gateway ) : 分 组 下 一 步 需 要 转发 到 的 IP 地 址 。 包 含 转发 接口 的 子 网 卫 地 址 ， 通 常 
是 相 邻 路 由 器 的 网 络 接口 IP 地 址 。 网 关 也 可 称 为 下 一 跳 (next hop )。 

4. 网 络 接口 (Interface) : 转发 该 分 组 路 由 器 上 的 接口 。 

5. 度量 值 ( Metric ) : 当 有 多 条 路 径 可 以 到 达 相 同 目的 地 (目的 IP 地 址 与 子 网 掩 码 的 值 相 同 ) 
时 不 同 路 径 的 优先 级 。 该 值 越 小 表示 优先 级 越 高 。 














以 上 5 个 项 目 汇 总 组 成 一 条 路 由 表 的 表 项 ， 也 称 为 路 由 选择 表 项 (routing entry )。 


03.05.04 ”最 长 匹配 与 默认 网 关 


当 IP 分 组 到 达 路 由 器 时 ， 路 由 器 会 参考 IP 的 目的 地 址 信息 ， 从 路 由 表 中 找到 包含 网 络 地 址 
的 路 由 表 表 项 。 

如 果 路 由 表 中 存在 该 表 项 ， 则 根据 该 表 项 记载 的 网 络 接口 信息 ， 转 发 该 分 组 到 对 应 的 网 关 
( 相 邻 路 由 器 的 IP 地 址 )。 若 路 由 表 中 出 现 多 条 表示 同一 个 目的 网 络 地 址 的 表 项 时 ， 则 选择 子 网 掩 
码 最 长 、 度 量 值 最 小 的 表 项 。 这 种 选择 最 长 子 网 掩 码 表 项 的 方式 也 称 为 最 长 匹配 ( longest match )。 

如 果 路 由 表 中 不 存在 满足 条 件 的 表 项 ， 则 根据 路 由 表 中 默认 的 表 项 信息 转发 分 组 。 默 认 路 径 
的 IP 地 址 表示 为 0.0.0.0， 子 网 掩 码 为 0.0.0.0， 使 用 CIDR 时 记 为 0.0.0.0/0。 经 默认 路 径 的 转发 也 
称 为 默认 网 关 转 发 。 如 果 路 由 表 中 不 存在 默认 路 径 ， 路 由 器 会 告知 转发 错误 并 丢弃 该 分 组 。 





国 默认 网 关 的 范例 

例如 ， 图 3-19 中 路 由 器 A 将 端口 3 设置 为 了 默认 网 关 。 

这 时 , 个 人 计算 机 A 向 计算 机 C 发 送 分 组 ， 路 由 器 根据 分 组 中 192.168.3.0/24 的 网 络 地 址 信 
息 开 始 检索 路 由 表 ， 寻 找 需 要 从 哪个 端口 转发 。 由 于 路 由 表 中 没有 该 表 项 ， 因 此 适用 0.0.0.0/0 表 
项 ， 将 数据 表 从 端口 3 转发 出 去 。 

由 于 端口 3 和 互联 网 相连 ， 而 且 除 了 子 网 A 与 子 网 B 之 外 ， 所 有 发 向 其 他 目的 地 址 的 分 组 
均 从 端口 3 转发 ， 因 此 个 人 计算 机 A 就 可 以 完成 互联 网 的 接 人 了 。 
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最 长 匹配 的 范例 


根据 最 长 匹配 ， 相 对 于 192.168.0.0/16， 
选择 了 前 缀 更 长 的 192.168.0.0/24 























转发 目的 地 
转发 目的 地 接口 ，eth2 


























目的 地 | 掩 码 
192.168.0.0 255.255.0.0 
spa ls RO 3535 有 192.1683.1.254 ala 


192.168.3.0 ”255.255.255.0 192.168.3.254 eth3 


192.168.1.1 








、 192.168.1.0/24/ 










192.168.1.1 


默认 路 径 与 默认 网 关 





































目的 地 网 络 
192.168.1.0/24 
192.168.2.0/24 端口 2 
0.0.0.0/0 
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03.05.05 ”静态 路 由 选择 
网 络 管理 员 在 路 由 器 中 手动 设置 路 由 表 表 项 信息 的 方式 称 为 静态 路 由 选择 ( static routing )， 
手动 设置 的 路 由 表 表 项 也 称 为 静态 路 径 ( static route )。 静 态 路 由 选择 可 以 在 配置 默认 路 径 或 定义 
存根 网 络 ( stub network ) 时 使 用 。 
所 谓 存根 网 络 是 指 仅 通过 1 台 路 由 器 连 接 ， 与 外 部 网 络 之 间 只 有 一 个 出 入 口 的 网 络 。 


存根 网 络 

















转发 至 192.168.1.0/24 的 网 络 只 
存根 网 络 需 将 10.1.1.1 设 置 为 网 关 即 可 
192.168.1.0/24 











< 10.1.1.0/24 < 
.1 .2 
路 由 器 A 路 由 器 B 



































个 人 计算 机 A 


国 使 用 静态 路 由 的 基本 路 由 选择 流程 
1. 个 人 计算 机 A 发 出 分 组 。 
2. 路 由 器 A 接收 到 该 分 组 ,计算 IP 首部 校 验 总 和 ， 确 认 结 果 是 否 正确 。 
3. 路 由 器 A 参考 路 由 表 ， 获 取 下 一 跳 的 接口 信息 (图 3-20 中 下 一 跳 的 地 址 为 10.1.1.2 )。 
4. 路 由 器 A 将 全 首部 的 TTL 值 减 1。 
5. 路 由 器 A 参照 ARP 表 ， 获 取 下 一 跳 的 MAC 地 址 信息 ， 如 果 无 法 得 到 该 信息 则 进入 ARP 


由 器 A 根据 下 一 跳 的 MAC 地 址 信息 生成 以 太 网 数据 帧 ， 并 将 数据 帧 从 接口 转发 至 网 络 。 











路 
Sa 


03.05.06 动态 路 由 选择 











当 网 络 规模 很 大 、 连 接 的 路 由 需 数 量 很 多 时 ， 从 物理 层面 上 来 说 ， 通 过 管理 员 手 动 设置 路 
由 表 表 项 信息 是 不 可 能 的 ， 这 时 就 需要 用 到 动态 路 由 选择 (dynamic routing ) 的 方式 ， 即 在 路 
由 器 之 间 交 换 信息 自动 生成 路 由 表 表 项 信息 。 路 由 咒 之 间 进 行 信息 交换 需要 用 到 路 由 选择 协议 
(routing protocol， 也 可 简称 为 路 由 协议 )。 路 由 选择 协议 定义 了 路 由 器 之 间 如 何 交 换 及 存 取 路 由 
信息 的 一 系列 规则 ， 在 路 由 器 之 间 进 行 交互 时 ， 如 果 使 用 (进行 处 理 ) 的 路 由 选择 协议 不 匹配 ， 
则 无 法 交换 正确 的 路 由 信息 。 

有 时 网 络 中 会 同时 使 用 静态 路 由 和 动态 路 由 混合 的 路 由 选择 方式 。 这 时 在 路 由 表 表 项 中 会 清 
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晰 地 记录 下 哪 条 路 径 属于 静态 路 由 ， 哪 条 路 径 属 于 动态 路 由 以 及 后 者 是 使 用 何 种 路 由 选择 协议 等 
信息 。 

如 果 网 络 使 用 动态 路 由 ， 需 要 耗费 一 定 的 时 间 通 过 交互 的 方式 从 其 他 路 由 器 中 获取 路 由 信 
息 ， 因 此 路 由 表 会 形成 逐渐 增 大 的 态势 ， 最 终 整个 网 络 上 所 有 的 路 由 需 都 会 携带 完成 形态 的 路 由 
表 ， 该 过 程 称 为 收敛 ， 有 时 也 称 为 汇聚 ( convergence )。 路 由 表 从 初始 形态 到 收敛 完成 形态 花费 
的 时 间 称 为 汇聚 时 间 ( convergence time )， 汇 聚 时 间 越 短 ， 路 径 越 稳定 。 一 般 而 言 ， 参 与 收敛 的 
路 由 器 数目 越 多 ， 路 径 的 汇聚 时 间 越 长 ， 不 过 该 时 间 的 长 短 还 和 路 由 算法 相关 ， 算 法 不 同 ， 时 间 
的 长 短 也 不 同 。 

使 用 动态 路 由 时 ， 在 以 下 情况 会 发 生路 由 器 之 间 的 路 由 信息 交互 。 





























e 网 络 内 首次 运行 路 由 选择 协议 时 。 

e 网 络 内 添加 新 的 路 由 融 或 链 路 时 。 

e 网 络 内 路 由 器 被 外 下 或 链 路 被 切断 导致 发 生 故 障 时 。 
(目的 地 网 络 的 角度 ) 


国 动态 路 由 的 分 类 

路 由 选择 协议 可 以 分 为 在 自治 系统 (AS，Autonomous System ) 内 部 运行 的 IGP (Interior 
Gateway Protocol， 内 部 网 关 协 议 ) 和 在 AS 之 间 运 行 的 EPG ( Exterior Gateway Protocol， 外 部 网 
关 协 议 ) 两 类 。 这 里 AS 是 指 ISP 或 学 术科 研 网 等 在 大 规模 机 构 中 使 用 的 独立 网 络 ， 用 AS 编号 
识别 。 

其 中 ， 作 为 EPG 的 代表 在 业内 广泛 使 用 的 是 BGP ( Border Gateway Protocol， 边 缘 网 关 协 议 ， 
具体 内 容 见 本 节 后 文 )。 

而 IGP 根据 用 途 不 同 ， 也 分 为 不 同 的 种 类 ， 最 党 用 的 是 RIP ( Routing Information Protocol， 
路 由 信息 协议 ) 和 OSPF ( Open Shortest Path First， 开 放 式 最 短路 径 优 先 )。 表 3-13 列 出 了 主要 的 
IGP 协议 。 

根据 不 同 的 最 忧 路 径 算法 ，IGP 协议 可 以 细 分 为 距离 矢量 型 (distance vector )、 链 路 状态 型 
( link state ) 和 混合 型 ( hybrid ) 三 类 。 

距离 矢量 型 是 指 仅 根 据 距 离 ( distance ) 和 方向 ( vector ) 两 个 因素 进行 路 由 选择 。 方 向 是 指 从 
哪 一 个 接口 转发 ， 距 离 是 指 分 组 经 历 的 跳 数 。 路 由 选择 时 ， 直 接 选 择 距 离 目 的 地 跳 数 最 少 的 路 径 。 

链 路 状态 型 会 先 制作 整个 网 络 的 路 径 地 图 ， 然 后 依据 该 地 图 中 的 路 径 不 断 地 进行 路 由 选择 。 
区 别 于 距离 矢量 型 IGP 协议 中 每 个 路 由 器 仅 握 有 各 自 的 路 由 信息 ， 在 链 路 状态 型 IGP 中 所 有 的 
路 由 器 均 持 有 同一 份 网 络 路 径 地 图 。 

混合 型 是 路 由 选择 时 在 混合 使 用 距离 矢量 型 同 链 路 状态 型 IGP 协议 。 
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主要 的 IGP 协议 

协议 名 称 标准 
RIP RFC1058 外 交 规模 较 小 的 
RIPv2 RFC2453 E 半 匈 模 较 小 的 
RiPng (IPv6 ) RFC2080 E 妆 规模 较 小 的 
OSPF RFC2328 连 路 状态 冠 ( 成 见 模 较 大 






































OSPFv3 ( IPv6 ) RFC2740 状态 有 见 模 较 大 
IS-IS ISO10589 状态 q F 动 设置 每 个 网 络 拱 规模 较 大 
IGRP 独 有 合 值 ( 带宽 、 时 延 、 可 靠 性 、 、| 规模 较 小 的 
MTU 大 小 共 5 项 ) 
EIGRP 思科 公司 独 有 | ; 复合 度量 值 ( 带宽 、 时 延 、 可 靠 性 、 、| 规模 较 大 
MTU 大 小 共 5 项 ) 






































































































































国 RIP 


RIP 路 由 信息 协议 是 动态 路 由 选择 中 历史 最 悠久 的 路 由 协议 ， 应 用 于 小 规模 网 络 中 。 路 由 器 
使 用 该 协议 与 相 邻 的 路 由 器 交换 链 路 信息 ， 通 过 贝尔 曼 - 福特 算法 ”找到 最 短路 径 。 

RIP 使 用 的 度量 值 ( metric ) 是 到 达 目 标 网 络 需 要 经 过 的 跳 数 (需要 经 过 多 少 个 路 由 器 转发 )。 
一 般 而 言 ，RIP 在 每 30 秒 会 更 新 一 次 路 由 信息 ， 因 此 当 距 离 目 的 地 2 跳 时 ， 路 由 信息 的 获取 需 
要 30 秒 ; 当 距 离 卓 的 地 5 跳 时 ， 则 需要 30 秒 x4， 即 120 秒 。 这 样 一 来 ， 当 网 路 规模 很 大 时 ， 
必然 会 出 现 路 径 无 法 收敛 的 情况 ， 因 此 RIP 定义 了 16 跳 “ 无 限 ” 距 离 。 当 某 个 网 络 节点 从 相 邻 
节点 收 到 度量 值 为 16 跳 以 上 的 表 项 信息 时 ， 则 该 表 项 源 地 址 的 网 络 不 可 达 ( unreachable )。 

RIP 协议 标准 文本 除了 有 单纯 表述 RIP、 由 RFC1058 定义 的 RIP 版 本 1 (RIPvl ) 以 外 ,还 
有 RFC2453 定义 的 RIP 版 本 2 (RIPv2 ) 和 RFC2080 定义 的 、IPv6 使 用 的 RIPng。 

RIPv1 和 RIPv2 都 使 用 UDP 协议 的 520 端口 完成 路 由 需 之 间 的 路 由 信息 交换 。 不 同 的 是 ， 
RIPv1 使 用 广播 通信 而 RIPv2 使 用 目的 地 址 为 224.0.0.9 的 多 播 通信 。 另 外 ，RIPvl 还 是 有 类 路 由 
协议 ， 使 用 了 固定 分 配 A 类 地 址 、B 类 地 址 、C 类 地 址 位 数 的 自然 掩 码 。 

RIPv2 支持 无 类 路 由 选择 ， 另 外 还 带 有 仅 从 特定 的 路 由 器 上 获取 路 由 信息 的 认证 功能 。 

RIPng 使 用 UDP 协议 的 521 端口 和 FF02::9 多 播 地 址 完成 路 由 需 之 间 的 路 由 信息 交换 。 由 于 
IPv6 协议 自 带 了 对 通信 发 起 方 和 对 方 的 认证 与 加 密 功 能 ， 因 此 RIPng 不 再 携带 认证 功能 。 

由 于 RIP 的 实现 非常 简单 ， 因 此 即使 是 内 存 较 小 的 宽带 路 由 器 也 有 很 多 能 同时 支持 静态 路 由 
和 RIP 的 产品 。 另 外 ， 虽 然 RIPvl 和 RIPv2 可 以 混合 工作 , 但 此 时 仅 有 RIPv1 生效 ， 所 以 在 使 
用 时 需要 事先 确认 路 由 器 支持 的 RIP 版本， 尽量 使 用 同一 版 本 工作 。 













































































中 即 yy Ford， 由 美国 著名 数学 家 Richard Bellman 和 Lester Ford, 工 提 出 ， 该 算法 在 图 论 中 和 迪 杰 斯 特 拉 的 最 短路 
径 算 法 齐 译 者 ; 注 
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端 端 端口 1 端口 2 
上 路 由 器 4 | 
192.168.1 a 10.1.1.0/24 

八 
(1 ) 通过 端口 1 (2) 端口 1 和 192. (3 ) 端口 1 和 192. (4) 端口 1 和 192. 




































































相连 192.168.1.0/24 168.1.0/24 网 络 有 168.1.0/24 网 络 有 168.1.0/24 网 络 有 
网 络 1 跳 的 距离 2 跳 的 距离 3 跳 的 距离 























由 于 无 法 了 解 整 个 网 络 的 结构 ， 距 离 矢 量 型 路 由 协议 只 能 依靠 来 自 于 相 邻 路 由 器 的 信息 进行 
路 由 选择 ， 因 此 会 发 生路 由 环 路 问题 。 为 了 防止 路 由 环 路 ， 就 需要 使 用 水 平分 割 ( split horizon ) 技 
术 避 免 同一 条 路 由 信息 回流 到 产生 该 信息 的 端口 处 ， 或 采用 毒性 逆转 ( poison reverse ) 方法 ， 给 无 
效 的 路 由 信息 设置 一 个 通信 实体 不 可 达 的 “无 限 大 ”度量 值 (也 称 为 路 由 破坏 ，route poisoning )。 

在 RIP 协议 中 ， 默 认 每 30 秒 更 新 一 次 路 由 信息 ， 但 如 果 网 络 中 新 发 现 了 某 条 度量 值 很 小 的 新 
路 径 ， 也 会 立刻 自主 触发 路 由 更 新 ( triggered update )。 这 一 机 制 能 够 缩短 网 络 路 径 的 收敛 时 间 。 

















® OSPF 

OSPF ( Open Shortest Path First ) 和 RIP 一 样 ， 同 属于 IGP 协议 。 尽 管 早 在 1989 年 就 发 布 了 
OSPF 第 一 版 的 RFC1131 标准 ， 不 过 现在 所 说 的 OSPF 一 般 是 指 1998 年 在 RFC2328 (1998 ) 中 
更 新 的 版 本 2 的 第 四 次 修订 版 。OSPF 是 用 于 大 规模 网 络 的 IGP， 因 此 成 为 电信 运营 商 和 普通 
企业 首选 的 路 由 选择 协议 。 另 外 ， 还 有 使 用 多 播 的 MOSPF ( RFC1585 ) 和 对 应 IPv6 的 OSPFv3 
( RFC2740，OSPF for IPv6 ) 作为 OSPF 扩展 的 路 由 选择 协议 。 


ED》 OSPF 的 特征 


等 价 多 路 径 ( ECMP， 能 够 同时 使 用 多 条 等 价 ( 度量 值 相同 ) 的 路 径 ， 也 称 为 等 价 负载 均衡 ( Equal-cost load 
Equal-Cost Multipath ) | balancing ) 
















































































































































































认证 与 RIPv2 类 似 ， 能 够 使 用 明文 ( clear text ) 或 MD5 散 列 完成 路 由 器 的 认证 
路 由 的 瞬时 更 新 OSPF 属于 链 路 状态 型 路 由 协议 。RIP、RIPv2 等 距离 矢量 型 路 由 协议 虽然 能 够 迅速 应 对 自身 
以 及 相 邻 路 由 器 的 路 径 变 更 ， 但 距离 自己 较 远 的 路 径 发 生变 化 时 ， 路 由 器 本 身 的 收敛 时 间 也 




































































会 变 长 。 而 在 OSPF 中 ， 各 个 路 由 器 承担 不 同 的 角色 ， 会 同时 更 新 路 由 信息 ， 从 而 达到 缩短 































































































































































































收敛 时 间 的 效果 

支持 CIDR 与 VLSM 和 RIPv2 一 样 ， 能 够 使 用 子 网 掩 码 以 及 应 用 于 使 用 无 类 网 络 地 址 的 网 络 

根据 带宽 选择 路 径 在 OSPF 中 ， 度 量 值 因 网 络 带宽 的 不 同 而 异 。 例 如 ， 即 使 距离 目的 地 的 跳 数 ( 相隔 的 路 由 器 数 
量 ) 相 同 ， 与 10Mbits 的 以 太 网 相 比 ，100Mbit/s 的 快速 以 太 网 会 获得 较 高 的 路 由 选择 优先 级 
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OSPF 属于 位 于 IP 层 之 上 工作 在 传 出 层 的 路 由 协议 ， 该 协议 的 工作 端口 为 89 表 3-14 总 结 
OSPF 协议 的 特征 。 

在 OSPF 中 ， 网 络 分 割 为 多 个 区 域 (area )， 最 终 形成 一 级 级 连接 到 骨干 区 域 0 的 层级 结构 。 
通过 以 区 域 为 单位 进行 管理 ， 能 够 将 网 络 变化 限制 在 在 区 域内 ,缩短 收敛 时 间 。 只 有 区 域 0 构成 
的 OSPF 网 络 称 为 单一 区 域 OSPF， 由 多 个 区 域 构 成 的 网 络 则 称 为 多 区 域 OSPF (图 3-22 )。 


OSPF 的 区 域 与 路 由 类 型 











区 域 边缘 路 由 器 














2 ( Area Border Router ) 



































内 部 区 域 路 由 器 
( 




















( AS Border Router ) 


比较 RIP 与 OSPF 的 特征 
















































































































































































RIP OSPF 

方式 距离 矢量 型 链 路 状态 型 
路 由 算法 贝尔 曼 -福特 迪 杰 斯 特 拉 
交互 数据 量 多 少 
链 路 信息 发 送 方式 “ 播 (RIPv1 ) 多 播 

多 播 ( RIPv2 ) 单 播 
网 络 规模 小 规模 中 ~ 大 规模 
路 由 器 实现 简单 ， 小 型 路 由 器 也 能 采 主要 是 中 型 规模 以 上 的 路 由 器 采 
路 由 器 处 理 量 少 多 
收敛 时 间 长 短 

eBGP 


BGP (Border Gateway Protocol， 边 缘 网 关 协 议 ) 是 在 AS ( Autonomous System， 和 上 自治 系统 ) 
之 间 进 行路 由 选择 的 EGP 协议 。IPv4 所 使 用 的 是 在 RFC1771 中 定义 的 BGP4 (BGP 版 本 4)， 而 
在 IPv6 中 使 用 的 则 是 由 RFC2545 定义 的 BGP4+ (BGP for Plus ) 协议 。 由 于 BGP 需要 获取 非常 
可 靠 的 大 量 交 互 网 络 信息 ， 因 此 数据 传输 采用 TCP 协议 的 179 端口 进行 。 
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在 日 本 ，AS 由 JPNIC? 进行 管理 ， 包 含 IJ、BIGLOBE、So-net 等 互联 网 服务 供应 商 ， 
KDDI、NTT 等 运营 商 和 大 学 、 政 府 机 关 等 700 多 个 机 构 2。 

AS 之 间 通 过 AS 编号 识别 ,编号 为 1~65535 的 16bit 值 。 其 中 64512~65535 为 私有 AS 编号 ， 
与 私有 卫 地 址 一 样 ， 可 以 在 不 与 互联 网 相连 的 私有 网 络 中 使 用 。 

BGP 使 用 的 路 由 信息 和 IGP 的 路 由 信息 一 般 不 在 一 起 管理 。 也 就 是 说 ， 运 行 BGP 的 路 由 器 
会 同时 拥有 IGP 和 EGP 两 张 路 由 表 。 

OSFP 一 般 会 以 传输 媒介 ( 链 路 ) 的 带宽 作为 计算 路 径 的 成 本 , BGP 则 会 利用 path 属性 (path 
attribute ) 来 计算 。 基 于 path 属性 和 方向 的 路 由 选择 称 为 路 径 矢量 型 ( path vector ) 路 由 协议 。 















































国 其 他 路 由 选择 协议 
® IGRP 

内 部 网 关 路 由 协议 ( Interior Gateway Routing Protocol ) 是 由 思科 公司 研发 的 IGP， 和 RIP 一 
样 同属 距离 矢量 型 路 由 协议 。 与 RIP 使 用 跳 数 表示 度量 值 相 对 应 ，IGRP 使 用 了 带宽 、 时 延 、 可 
靠 性 、 负 载 、MTU 五 个 参数 复合 来 表示 路 径 的 度量 值 。IGRP 只 能 在 思科 公司 生产 的 路 由 器 之 间 
使 用 。 


eEIGRP 

和 IGRP 一 样 ， 增 强 型 内 部 网 关 路 由 协议 ( Enhanced Interior Gateway Routing Protocol ) 也 是 
由 思科 公司 开发 的 IGP,， 是 IGRP 的 改良 版 (enhanced 版 本 )， 所 以 命名 为 EIGRP。 该 路 由 选择 
协议 集合 了 距离 矢量 型 和 链 路 状态 型 的 优点 ， 用 于 大 规模 网 络 中 。 





























e1S-IS 

IS-IS 也 是 用 于 大 规模 网 络 的 IGP， 与 OSPF 同属 于 链 路 状态 型 的 路 由 协议 ， 不 过 在 AS 之 间 
也 可 以 使 用 ， 甚 至 可 以 用 于 卫 网 络 协议 之 外 的 网 络 。 

IS-IS 是 经 过 OSI 标准 化 的 路 由 协议 。IS ( Intermediate System， 中 间 系 统 ) 是 指 转发 分 组 的 
系统 ， 也 就 是 路 由 器 。 与 IS 对 应 的 是 ES ( End System， 终 端 系统 )， 指 的 是 无 法 进行 路 由 选择 的 
主机 。 

与 RFC 标准 化 的 TCP/IP 协议 簇 不 同 ,，IS-IS 是 提供 了 OSI 环境 下 路 由 选择 功能 的 ISO 标准 。 
ISO 8473 定义 的 CNLP ( Connectionless Network Layer Protocol， 无 连接 的 网 络 层 协议 ) 和 ISO 
9542 定义 的 ES-IS ( End System to Intermediate System， 终 端 系统 到 中 间 系 统 ) 协议 。 




















该 机 构 相 当 于 我 国 的 CNNIC。 译 者 注 
@@ 通过 下 面 的 站 点 可 以 查阅 到 机 构 所 属 的 AS 编号 。 
http://www.nic.ad.jp/ip/as-numbers.txt 





http://www.iana.org/assignments/as-numbers 
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IS-IS 与 IP 网 络 中 的 OSPF 类 似 ， 使 用 迪 杰 斯 特 拉 的 SPF 算法 计算 最 短路 径 。 





国 路 由 重 分 发 

当 网 络 中 运行 着 多 个 路 由 协议 时 ， 在 路 由 器 内 部 设置 路 由 重 分 发 (redistribution )， 就 能 够 在 多 
个 路 由 协议 之 间 共 享 路 由 信息 。 例 如 ， 可 以 将 通过 BGP 获取 的 外 部 AS 相关 路 径 信息 加 入 OSPF 
获取 的 路 由 选择 信息 中 ， 也 能 够 以 静态 路 由 的 方式 向 其 他 各 类 路 由 选择 协议 分 发 相关 的 路 由 信息 。 
在 执行 路 由 重 分 发 时 ， 需 要 预先 设置 与 分 发 目标 路 由 协议 相 匹 配 的 种 子 度量 值 ( seed metric )。 

需要 注意 的 是 ，Cisco IOS 中 的 种 子 度量 默认 值 会 使 OSPF 在 路 由 重 分 发 时 ， 由 于 反复 分 发 
而 导致 路 由 环 路 的 发 生 ， 还 会 因为 错误 的 度量 值 设置 以 及 不 同 路 由 协议 之 间 收 敛 时 间 的 不 同 导 致 
最 短路 径 计算 失败 。 























国 管理 距离 

管理 距离 ( administrative distance ) 用 来 表示 路 由 选择 信息 发 送 方 的 可 信和 度 ， 数 值 越 小 可 信 
度 越 高 。 在 路 由 选择 中 通常 会 使 用 三 种 路 径 ， 一 种 是 与 路 由 器 直 连 的 网 络 目的 地 路 径 ， 一 种 是 静 
态 路 径 ， 还 有 一 种 是 根据 各 种 路 由 协议 获取 的 路 径 。 表 3-16 列举 了 这 三 种 路 径 的 管理 距离 示例 。 
比如 ， 路 径 192.168.1.0/24 与 路 由 器 端口 1 直接 相连 ( 直接 连 到 网 络 接口 上 ) 时 ， 由 于 该 路 径 确实 
存在 ， 可 信 度 可 以 理解 成 无 限 大 ， 使 用 0 表示 管理 距离 最 远 并 在 路 由 表 中 添加 该 项 。 这 时 在 相同 
的 路 由 器 中 ， 通 过 RIP 协议 获取 了 端口 2 的 输出 目的 地 为 192.168.1.0 的 路 径 。 由 于 RIP 协议 比 
网 络 接口 直 连 的 可 信 度 要 低 (管理 距离 数值 变 大 )， 因 此 通过 RIP 协议 得 到 的 路 径 不 及 在 路 由 表 
中 直 连 的 表 项 ， 所 以 无 法 添加 到 路 由 表 中 。 


Cisco IOS 中 主要 的 管理 距离 ( 默认 值 ) 


















































管理 距离 值 











网 络 接口 直 连 
静态 ( 设置 网 络 接 
静态 ( 设置 的 下 一 跳 
eBGP 
OSPF 
IS-IS 
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各 厂商 支持 的 路 由 协议 
































产品 ( 操作 系统 ) RIP @SBPE BGP IGRP/EIGRP IS-IS 
Cisco IOS 路 由 器 O © O © O 
Juniper JUNOS OO OO OO x OO 
Alaxala O O O x 全 ! 
CenterCOM O O O 艾 当 




















注 1: 需要 有 许可 证 方 能 使 用 。 


03.05.07 ”IP 隧道 与 VPN 


某 个 通信 协议 被 其 他 通信 协议 封装 后 进行 转发 传输 的 技术 称 为 隧道 技术 。 在 处 于 网 络 上 的 
两 台 路 由 器 之 间 设 置 隧道 的 话 ， 就 可 以 在 路 由 器 之 间 根 据 隧道 协议 构建 一 条 虚拟 的 通信 链 路 。 如 
图 3-23 所 示 ， 路 由 器 A 接收 到 的 原始 分 组 以 封装 后 的 形态 ( encapsulation ) 通过 隧道 协议 被 转发 
到 目的 地 路 由 器 B 中 。 路 由 器 B 随后 进行 解 封装 ( decapsulation )， 还 原 分 组 形态 ， 并 以 原始 形 
态 再 次 转发 到 实际 的 目的 地 。 

由 于 该 技术 架设 直 连 通信 两 地 的 隧道 (虚拟 的 )， 因 此 也 称 为 隧道 技术 。 

隧道 协议 有 类 似 L2F、PPTP、L2TP 这 样 将 数据 链 路 层 数据 帧 封装 于 卫 分 组 中 的 L2 隧道 协 
议 ， 还 有 类 似 GRE、IPsec 这 样 将 网 络 层 分 组 封装 于 卫 分 组 中 的 L3 隧道 协议 。 

隧道 技术 多 用 于 构建 VPN (Virtual Private Network， 虚 拟 私 有 网 ) 网 络 ， 尤 其 是 使 用 IPsec 
(参考 第 5 章 ) 构建 加 密 的 VPN 提供 给 用 户 。 这 时 ，PC-A 和 PC-B 之 间 分 配 的 私有 地 址 处 于 一 个 
网 络 中 ， 而 路 由 器 A 和 路 由 器 B 之 间 则 使 用 全 局 地 址 ， 在 互联 网 上 相连 并 负责 数据 的 传输 。 


IP 隧道 技术 的 运行 机 制 


封装 解 封 装 
PC-B 侧 路 由 器 B 例 


2 
国 GRE 


GRE ( Generic Routing Encapsulation， 通 用 路 由 封装 ) 是 由 思科 公司 开发 的 隧道 协议 之 一 ， 
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协议 编号 为 3， 在 RFC2784 中 定义 。 
该 协议 主要 应 用 于 路 由 选择 协议 等 多 播 分 组 的 隧道 传输 。 
GRE 隧道 能 够 将 任意 协议 封装 到 卫 分 组 中 (图 3-24 )。 
由 于 GRE 没有 自 带 加 密 功 能 ， 因 此 无 法 保障 封装 数据 的 安全 性 ， 可 能 会 被 窃听 。 如 果 需 要 
保障 封装 数据 的 安全 性 ， 可 以 使 用 GRE over IPSec。 
普通 IP 分 组 与 GRE 封装 后 的 分 组 的 不 同 
@ 普 通 |P 分 组 



































IPe 数据 



































@GRE 封 装 后 的 分 组 































































































有 相 GRE 首部 



















































































9 
他 Reserved0 Ver Protocol Type 

Checksum ( 可 选项 ) Reserved1 ( 可 选项 ) 
C : Checksum Present 比 特 位 。 当 该 位 置 为 1 时 ， 表 示 Checksum 域 和 Reserved1 域 的 值 有 效 。 
Reserved0 ( 1bit~12bit ) ， 接收 方 如 果 没 有 RFC1701 且 1~5bit 在 非 O 时 ， 丢 弃 该 分 组 。6~12bit 预 留 以 便 将 来 使 用 。 
Ver : 版 本 号 ( Version Number ) ， 一般 填 0。 





















































Protocol Type : 协议 类 型 。 作 为 有 效 载荷 数据 的 协议 种 类 定义 在 RFC1700 的 ETHER TYPES 中 ， 填 入 
对 应 的 值 。 
Checksum : 校 验 总 和 。C 标 志 位 为 1 时 ， 填 入 GRE 首 部 与 有 效 载荷 的 IP 校 验 总 和 。 
Reserved1 : 预 留 以 便 将 来 使 用 。 
国 PPTP 


PPTP ( Point to Point Tunneling Protocol， 点 对 点 隧道 协议 ) 是 由 微软 公司 、Ascend 公司 “、 
3Com 公司 等 共同 开发 设计 的 VPN 协议 。Windows 操作 系统 从 Windows NT4.0 开始 支持 该 协 
议 ， 在 Windows XP/Vista/7 中 同样 可 以 使 用 。 由 于 该 协议 设置 简单 ， 因 此 即使 是 购买 于 家 电 专 
卖 店 的 廉价 宽带 路 由 需 也 提供 了 PPTP 服务 需 功 能 。 该 协议 通常 用 于 需要 远程 接 人 小 规模 网 络 
的 情况 。 

PPTP 使 用 PPP ( Point-to-Point Protocol， 点 对 点 ) 数据 帧 封装 卫 分 组 , 在 卫 网 络 上 通过 隧 
道 进 行 传输 。 与 RAS ( Remote Access Service， 远 程 访问 服务 ) 服务 器 进行 PPP 连接 。 





















































中 擅长 ATM 等 数 通 技术 的 公司 ， 也 有 容错 计算 机 业务 ， 于 1999 年 被 当时 的 朗讯 科技 收购 。 译 者 注 





图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


156 | 第 3 章 路 由 器 和 它 庞大 的 功能 


在 以 前 使 用 电话 线 拨号 上 网 时 ， 连 接 的 接 入 点 中 会 有 提供 用 户 认证 、IP 地 址 分 配 、 接 入 互 
联网 等 服务 的 服务 器 ， 类 似 这 样 的 服务 器 被 称 为 RAS 服务 器 。RAS 服务 器 狭义 是 指 Windows 终 
端 使 用 PPTP 进行 连接 的 PPTP 服务 器 ,广义 上 则 包含 了 能 够 接受 远程 终端 通过 各 种 隧道 协议 进 
行 访问 的 VPN 集线器 和 终端 服务 器 。 

在 隧道 中 PPTP 协议 使 用 改良 版 的 L3GRE 隧道 协议 ， 和 GRE 同样 使 用 47 号 协议 ， 建 立 、 
监控 隧道 时 使 用 TCP 协议 的 1723 端口 。 

在 运行 PPTP 隧道 协议 的 设备 中 ( 即 在 PPTP 服务 器 与 PPTP 客户 端 之 间 )， 如 果 设 置 了 防火 
墙 ， 需 要 保证 前 面 提 到 的 端口 是 处 于 打开 的 状态 。 

PPTP 在 最 初 是 为 了 用 于 远程 接 入 而 开发 的 。 所 谓 远 程 接 入 是 指 用 户 在 家 中 或 出 差 途中 通过 
互联 网 接 入 用 户 所 在 的 公司 网 络 。 但 目前 PPTP 已 不 再 局 限于 远程 接 入 的 应 用 ， 也 可 以 应 用 在 
LAN-to-LAN 的 连接 中 。 

LAN-to-LAN 是 指 像 公 司 的 各 分 文 机 构 那样 将 网 络 互 联 的 形态 。 

PPTP 仍旧 使 用 了 PPP 的 认证 与 加 密 方式 。 需 要 加 密 时 ， 首 先 使 用 MS-CHAP ( Microsoft 
Challenge Handshake Authentication Protocol ， 挑 战 握手 认证 协议 ) 进行 认证 ， 然 后 再 进行 加 密 。 
其 中 加 密 算法 在 北美 采用 128 位 的 RC4， 在 世界 范围 则 是 采用 40bit 的 RC4 算法 。 

PPTP 协议 因为 有 微软 公司 的 参与 ， 所 以 可 选择 的 客户 端 环境 非常 丰富 ，Windows 系列 的 操 
作 系 统 即 可 作为 PPTP 的 标准 客户 端 使 用 。 

不 过 ,目前 从 PPTP 协议 的 设计 以 及 实现 中 也 发 现 了 很 多 问题 ， 尤 其 是 40bit 的 RC4 加 密 强 
度 过 低 ， 使 得 该 协议 的 安全 性 令 人 担忧 。 因 此 在 互联 网 中 使 用 VPN 时 ， 若 考虑 到 加 密 安全 性 ， 
还 是 使 用 IPsec-VPN 或 SSL-VPN 更 有 保障 。 
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国 L2TP 

L2TP(Layer 2 Tunneling Protocol，L2 隧道 协议 ) 定义 于 RFC2661 标准 。 

L2TP 协议 充分 结合 了 微软 公司 基于 PPP 的 PPTP 隧道 技术 和 思科 公司 独 有 标准 L2F ( Layer 
2 Forwarding，L2 转发 协议 ) 这 两 者 的 优点 。 

L2TP 是 属于 VPDN ( Virtual Private Dialup Network， 虚 拟 专用 拨号 网 ) 的 网 络 协议 ， 用 于 拨 
号 用 户 接 人 私有 网 络 。 
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L2TP 的 接 入 方式 






ISP 网 络 











NAS ( LAC) GW ( LNS) 公司 内 部 网 络 
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oo— LP 一 一 





PSTN : Public Switched Telephone Network ( 公共 电话 网 ， 即 固定 电话 网 络 ) 























NAS : Network Access Server ( 帮助 用 户 从 电话 线路 以 及 ADSL 线 路 连接 到 互联 网 的 
接 入 点 服务 器 ) 
ISP :Internet Service Provider ( 互联 网 服务 供应 商 ) 














GW : Gateway ( 网 关 、 路 由 器 ) 





























用 户 在 家 中 通过 电话 线路 连接 到 公司 网 络 时 的 网 络 拓扑 逻辑 如 图 3-26 所 示 。NAS ( Network 
Access Server ) 意 为 网 络 接 和 服务器，L2TP 中 则 将 其 称 为 LAC(L2TP Access Concentrator，L2TP 
接 人 集线器 )。 用 户 使 用 PPP 连接 工具 开始 PPP 连接 后 ，NAS 会 收 到 连接 请 求 ， 并 在 ISP 内 的 
认证 服务 器 完成 简单 认证 。 与 此 同时 ，NAS 将 接 入 GW， 公司 内 部 网 络 认证 服务 器 也 会 完成 对 
NAS 的 认证 。 当 认证 均 通 过 后 ， 就 完成 了 L2TP 隧道 的 建立 。 

图 3-26 中 的 GW 属于 公司 的 网 关 ( 入 口 路 由 需 )， 该 网 关 在 L2TP 中 称 为 LNS (L2TP 
Network Server，L2TP 网 络 服务 器 )。PPP 协议 封装 在 L2TP 隧道 协议 中 ， 用 来 完成 终端 和 GW 
的 连接 。 

以 FLET's*YADSL 为 例 ，ISP 是 NTT 东西 地 区 公司 ,公司 内 部 网 络 则 是 各 供应 节点 ( provider )， 
想 要 从 自己 家 中 接 入 到 互联 网 的 用 户 可 以 通过 PPP 协议 接 和 人 各 供应 节点 ， 再 从 供应 节点 连 人 互 
联网 (图 3-27 )。 


EE FLET'sADSL 中 的 L2TP 



















































































LAC LNS ”服务 供应 节点 ”互联 网 











中 日 本 某 电 信 品 牌 ， 和 中 国电 信 的 “我 的 e 家 ”类 似 。 一 一 译 者 注 
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国 IPv6 隧道 
e@ |Pv6 over IPv4 隧道 

IPv6 over IPv4 隧道 是 指 通过 IPv4 的 网 络 传输 IPv6 的 通信 机 制 。 在 图 3-28 中 ， 从 发 送 方 路 
由 过 来 的 IPv6 分 组 在 作为 隧道 入 口 的 路 由 器 A 中 被 加 上 了 IPv4 的 首部 ， 也 就 是 说 IPV6 的 分 组 
被 封装 成 了 IPv4 分 组 ， 此 时 IPv6 的 分 组 就 可 以 当 作 IPv4 分 组 进行 路 由 操作 了 。 

当 该 分 组 通过 IPv4 网 络 到 达 隧 道 出 口 的 路 由 器 B 时 ， 在 该 处 去 掉 之 前 添加 的 IPv4 首部 ， 完 
成 IPv4 的 解 封 装 ， 并 将 解 封装 后 的 卫 v6 分 组 转发 到 IPv6 网 络 进行 后 面 的 路 由 过 程 。 


IPv6 over IPv4 隧道 的 连接 方式 











































































IPv6 PC El IPv6 PC 














IPv6 overIPv4 有 多 种 实现 方式 ， 有 使 用 地 址 6to4 的 6to4 封装 技术 ， 也 有 通过 在 NAT 环 
境 下 也 可 使 用 的 UDP 来 进行 封装 的 Teredo 技术 ， 还 有 用 于 将 IPv6 数据 导入 使 用 私有 地 址 的 
Intranet 中 的 ISATAP 技术 。 


e |Pv4 over IPv6 隧道 
使 用 IPv6 网 络 进行 IPv4 分 组 的 通信 机 制 。 像 FLET's 光 Next? 那样 需要 在 IPv6 网 络 中 进行 
IPv4 通信 时 ， 必 须 将 IPv4 的 分 组 封装 到 IPv6 的 分 组 中 进行 传输 。 


03.05.08 ”|IP 多 播 


国 什么 是 多 播 

多 播 是 向 多 个 接收 者 同时 发 送 相同 数据 的 过 程 ， 一 般 用 于 同时 传输 动态 画面 等 情况 。 构 成 多 
播 网 络 的 路 由 器 可 以 将 特定 主机 发 送 的 多 播 分 组 复制 并 转发 到 其 他 多 个 网 络 节 点 。 多 播 分 组 发 送 
源 主 机 称 为 source 或 sender， 接 收 的 终端 则 称 为 listener 或 receiver。 

在 多 播 中 ， 多 个 接收 多 播 数 据 的 终端 会 被 分 组 ， 每 个 多 播 组 的 识别 号 使 用 IPv4 的 
224.0.0.0/4、IPV6 中 的 ff00::/8 等 范围 的 多 播 地 址 。IPv4 多 播 地 址 的 分 类 如 表 3-18 所 示 。 














中 同 为 日 本 某 电 信 品 牌 。 





译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 











03.05 ”IP 路 由 选择 的 基础 知识 | 159 














IPv4 多 播 地 址 分 类 


名 称 IP 地 址 范围 说 明 
Local Network Control Block | 224.0.0.0~224.0.0.255 用 于 OSPF、RIPv2、VRRP 等 内 部 网 络 中 的 通信 控 
( 224.0.0/24 ) 办 议 


Internetwork Control Block 224.0.1.0~224.0.1.255 常 在 NTP 等 跨 互联 网 的 通信 控制 协议 
( 224.0.1/24 ) 


D-HOC Block 224.0.2.0-224.0.255.255, i F 没 有 包含 在 Local Network/Internetwork Control 
224.3.0.0-224.4.255.255, 应 用 程序 

233.252.0.0-233.255.255.255 
SDP/SAP Block 224.2.0.0-224.2.255.255 ession Announcement Protocol 作为 通信 
( 224.2/16 ) 址 的 程序 
Source-Specific 232.0.0.0-232.255.255.255 
ulticast Block ( 232/8 ) 

LOP Block 233.0.0.0~233.255.255.255 16bit 的 AS 编号 关联 使 
( 233/8 ) 































































































































































































3-29 中 ， 在 232.0.0.1 与 232.0.0.2 两 个 多 播 组 中 正在 传输 分 组 。 左 侧 两 个 listener 接收 
232.0.0.1 多 播 组 的 分 组 ， 右 边 两 个 listener 接收 232.0.0.2 组 的 分 组 ， 而 位 于 中 央 的 listener 能 够 同 
时 接收 两 组 的 分 组 。 


多 播 数据 转发 的 流程 


SS 1 yD 
wp FR yp 


导 宇 RR 


J 


< 地 232.002 
0 232.0.0.2 
辣 乡 
232.0.0.1 
(多 播 地 址 ，232.0.0.1) 。 232002 (多 播 地 址 ，232.0.0.2 ) 





在 接收 终端 通过 应 用 程序 对 多 播 进行 设置 ， 就 可 以 设置 NIC ( Network Interface Card， 网 
卡 )， 使 得 终端 能 够 获取 发 向 接收 多 播 IP 地 址 对 应 的 、 多 播 MAC 地 址 的 以 太 网 帧 格式 ， 从 而 完 
成 多 播 分 组 的 接收 。 
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国 多 播 的 MAC 地 址 
eIGMP 与 MLD 

在 IPv4 协议 中 使 用 IGMP ( Internet Group Management Protocol，Internet 组 管理 协议 ) 协议 
来 管理 各 终端 是 否 加 入 (或 退出 ) 多 播 组 以 及 加 入 (或 退出 ) 哪个 多 播 组 。 这 个 协议 如 表 3-19 所 
示 ， 存 在 多 个 版 本 。 

MLD 是 ICMPv6 的 附属 协议 ，IGMPv2 对 应 MLDv1，IGMPv3 对 应 MLDv2。 


IGMP 与 MLD 版 本 
































IPv4 IPv6 
IGMPv1 ( RFC1112 ) 
IGMPv2 ( RFC2236 ) MLDv1 (RFC2710) 
IGMPv3 ( RFC3376 ) MLDv2 ( RFC3810 ) 











国 多 播 路 由 选择 协议 
e PIM-SM 与 PIM-DM 
在 对 多 播 分 组 进行 路 由 的 协议 中 还 有 PIM。 
PIM-SM ( Protocol Independent Multicast Sparse Mode，RFC2362 ) 属于 路 由 器 动态 生成 路 径 




















言 息 的 协议 。 由 于 PIM 是 基于 单 播 路 由 选择 运行 的 多 播 路 由 协议 ， 因 此 PIM 在 实际 实现 时 需要 
与 RIP 或 OSPF 等 路 由 协议 协同 工作 。 

SM ( Sparse Mode， 稀 玻 模式 ) 用 于 listener 处 于 游离 分 散 状态 时 进行 高 效 通 信 。DM ( Dense 
Mode， 稠 密 模 式 ) 用 于 listener 处 于 密集 状态 时 进行 高 效 通 信 。 














e PIM-SSM 
PIM-SSM( Source Specific Multicast， 源 特定 多 播 ) 是 PIM-SM 的 扩展 协议 ， 将 多 播 源 信息 通 
知 上 一 级 PIM 路 由 器 以 提高 安全 性 ， 与 SSM 相对 的 是 源 不 特定 的 ASM ( Any Source Multicast， 
任意 源 多 播 ) 方式 。 
SSM 在 实现 时 需要 使 用 IGMPv3 并 指定 源 IP 地 址 。 












































eDVMRP 

DVMRP ( Distance Vector Multicast Routing Protocol， 距 离 矢 量 多 播 路 由 选择 协议 ) 协议 是 在 
RFC1075 中 定义 的 距离 矢量 型 的 路 由 选择 协议 ， 其 中 具体 考虑 了 DV ( Distance Vector ) 的 应 用 。 
该 协议 最 早 开发 于 20 世纪 90 年 代 ， 是 最 早 的 多 播 路 由 选择 协议 ， 从 1992 年 开始 ， 在 多 播 实 验 
网 MBONE ( Multicast Backbone， 多 播 主干 网 ) 中 得 到 具体 应 用 (现在 的 MBONE 已 使 用 PIM- 
SM )。 运 行 DVMRP 的 路 由 器 之 间 会 交换 发 往 目 的 地 的 单 播 路 径 信 息 ， 并 使 用 这 些 路 径 信息 通过 
RPF ( Reverse Path Forwarding， 逆 向 路 径 发 送 ) 进行 转发 。 当 在 进行 RPF 的 过 程 中 遇 到 不 支持 


























图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 











03.06 了 解 路 由 器 搭载 的 各 种 附加 功能 | 161 














DVMRP 协议 的 路 由 器 时 ， 使 用 卫 隧道 技术 即 可 解决 问题 。 在 早期 的 MBONE 中 由 于 存在 很 多 
不 支持 DVMRP 的 路 由 器 ， 因 此 不 得 不 大 量 使 用 IP 隧道 构成 整个 MBONE 网 络 。 
桌面 式 路 由 器 几乎 都 不 支持 多 播 路 由 ， 不 过 会 支持 表 3-20 中 列 出 的 与 多 播 相 关 的 功能 。 
桌面 式 路 由 器 支持 的 多 播 相关 功能 
功能 名 说 明 
Multicast Snooping ( 多 播 侦 听 ) 于 管理 和 侦 听 多 播 分 组 ， 阻 止 无 用 IP 多 播 分 组 的 泛滥 ( flooding ) 










































































Multicast 隧道 传输 模式 与 Snooping 功能 组 合 使 用 ， F 提 高 在 无 线 LAN 中 IP 多 播 分 组 的 可 靠 性 























03.06 了解 路 由 器 搭载 的 各 种 附加 功能 


尽管 路 由 器 是 执行 路 由 选择 的 网 络 硬件 ， 但 也 同时 提供 了 其 他 各 种 各 样 的 功能 。 








03.06.01 ”路 由 器 功能 的 分 类 


路 由 需 是 位 于 网 络 层 并 主要 提供 路 由 选择 功能 的 网 络 硬件 ， 但 也 能 够 完成 在 路 由 需 以 太 网 接 
口 处 理 以 太 网 数据 帧 等 属于 数据 链 路 层 和 物理 层 的 相关 操作 。 另 外 ， 最 新 的 路 由 融 甚 至 还 提供 了 
安全 保障 功能 、 涉 及 耳 电话 的 VoIP 功能 等 属于 传输 层 和 应 用 层 的 相关 功能 。 

尽管 路 由 器 厂商 提供 的 功能 各 不 相同 ， 但 大 致 可 以 分 为 以 下 几 个 类 型 ， 如 表 3-21 所 示 。 


路 由 器 的 主要 功能 
OS 参考 模型 功能 
操作 系统 管理 、 宛 余 化 等 
安全 保障 (IPS、 代 理 、SSL-VPN 等 ) VolP 
TCP/IP ( NAT、 路 由 选择 等 )、TCP/IP 以 外 的 协议 簇 、IPsec-VPN、QoS 
LAN 交换 、LAN 以 外 的 物理 层 与 数据 链 路 层 协 议 、WAN、 无 线 LAN 


LAN 交换 功能 请 参考 本 书 第 2 竟 ， 安 全 保障 与 VPN 请 参考 本 书 第 5 章 ， 无 线 LAN 等 内 容 
可 以 参考 本 书 的 第 6 章 。 


























































































































03.06.02 ”支持 TCP/IP 以 外 的 协议 徐 


国 AppleTalk 
AppleTalk 是 指 Apple 公司 在 Mac 操作 系统 中 提供 的 专用 网 络 功能 ， 也 可 以 指 实现 该 网 
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络 功 能 时 用 到 的 一 系列 协议 。 随 着 TCP/IP 的 普及 ，Apple 公司 最 近 的 产品 也 已 开始 逐步 剥离 


AppleTalk， 从 Mac OS X 10.6 开始 就 不 再 支持 AppleTalk。 不 过 Cisco IOS 以 及 CentreCOM? 依然 
提供 对 其 的 支持 。 























国 DECnet 


DECnet 是 美国 DEC 公司 ( 现 属 HP 公司 六 于 1975 年 发 布 的 网 络 产品 集合 的 总 称 。 该 网 络 协 
议 用 于 DEC 公司 小 型 机 之 间 的 互 连 ， 目 前 Cisco IOS 提供 对 其 的 支持 。 








国 Novell IPX 

Novell IPX 是 Novell 公司 开发 的 网 络 层 和 传输 层 协议 。IPX ( Internet Packet Exchange， 互 联 
网 分 组 交换 ) 一 般 用 于 Novell 公司 开发 的 NetWare 操作 系统 ， 网 络 层 中 使 用 IPX 地 址 。 直 至 20 
世纪 90 年 代 初 , Novell IPX 都 是 在 企业 LAN 中 使 用 , 但 是 现在 已 经 很 少 使 用 了 。 

Cisco IOS 、CentreCOM 、YAMAHA RT 系列 提供 了 对 该 协议 的 支持 。 


各 厂商 对 各 个 协议 簇 的 支持 情况 
























































产品 ( 操作 系统 ) IP IPX DECNet AppleTalk 
Cisco IOS 路 由 器 O O 人 O 
Juniper JUNOS O x x x 
ALAXALA Networks O O x x 
CenterCOM O O 这 O 
YAMAHA O 人 x x 
桌面 式 O x x x 









































03.06.03 LAN 交换 


大 多 数 宽带 路 由 器 都 有 一 个 WAN 端口 和 若干 个 LAN 端口 。 家 庭 以 及 小 规模 办 事 处 可 以 将 
多 台 个 人 计算 机 连接 LAN 端口， 并 通过 WAN 端口 接 入 到 互联 网 。 与 此 同时 ， 各 个 LAN 端口 之 
间 也 能 够 交换 数据 。 

除了 宽带 路 由 器 之 外 ， 其 余 类 型 的 路 由 器 也 能 够 在 多 个 接口 之 间 交 换 LAN。 

有 关 LAN 交换 的 详细 内 容 可 以 参考 本 书 第 2 章 。 


























中 Allied Telesis 公司 的 网 络 操作 系统 。 译 者 注 
@) 该 公司 是 小 型 机 的 先驱 ，PDP 系列 小 型 机 曾 创 下 一 代 辉 煌 ， 后 由 于 PC 的 兴起 被 康 柏 公司 收购 ， 随 后 康 柏 又 被 HP 收 
购 。 译 者 注 
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03.06.04 支持 LAN 以 外 的 物理 层 和 数据 链 路 层 协议 
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如 今 大 多 数 互联 网 均 是 通过 以 太 网 完成 互 连 的 。 以 太 网 原本 是 用 于 局 域 网 (LAN ) 的 技术 ， 
但 自从 万 兆 以 太 网 出 现 之 后 也 开始 逐渐 应 用 于 广域网 (WAN ) 了 。 


除 以 大 网 之 外 ， 主 要 在 广域网 中 使 月 





数据 链 路 层 协 议 


日 的 数据 链 路 层 协议 如 表 3-23 所 示 。 





协议 名 称 


说 明 





HDLC 


High-Level Data Link Control ( 高 级 数据 链 路 控制 ) 的 简称 ， 











世纪 70 年 代 中 期 提出 的 、 





公司 在 20 























环境 "的 SDLC ( Synchronous 
协议 进行 通信 的 分 组 称 为 HDLC 数据 
8bit 









































加 


于 SNA (Systems Network Archi 
Data Link Control， 同 步 数据 链 路 控制 ) 协 议 为 原型 改进 
顺 
8bit 或 16bit 


1SO 标准 的 数据 链 路 








层 协议 ， 以 IBM 
ecture， 系 统 网 络 体 系 结构 ) 
而 成 。 以 HDLC 




















16bit 





EE 


8bit 


| 
0 或 者 8bit 的 倍数 ( 长 度 可 


变 ) 


I 
8bit ( 可 选 ) 





PPP 





























RFC1661 定义 ，HDLC 协议 是 PPP 的 者 


础 ， 即 在 


物 














里 链 路 上 过 




















办 议 数据 链 路 
层 协议 的 选 定 与 设置 








居中 的 LCP 完成 链 路 的 建立 、 设 


、 认 证 和 检测 ，N 











己 
云 





网 络 








数据 链 路 


及 
云 


NCP ( Network Control Protocol 





) 





LCP ( Link Control Protocol ) 








HDLC ( High-Level Data Link Control ) 





己 


物理 层 




















下 面 这 些 功 能 。 
的 链 路 


PPP 还 提供 
e 多 种 网 络 协议 
。 链 路 质量 测试 
首部 压缩 ( Predi 












































C 











or、Stacker、MPPC ) 


(MP，Multilink PPP ) 


行 数据 封装 要 以 HDLC 为 依据 。PPP 


CP 完成 IP、IPX、AppleTalk 等 网 络 











户 认证 (P 
错 检 泊 








AP 或 CHAP ) 


( Magic Number ) 





ATM 








Asynch 


ronous Transfer Mode ( 异步 传输 模式 


的 人 


[Ba. 








属于 数据 链 路 

















刁 的 通信 协议 ， 可 以 使 用 逻辑 链 

















路 进行 异步 数据 交换 。 数 
计划 用 于 扩展 普通 电话 线路 的 





























原 


何 o 


蚌 单 元 信 元 ( cell ) 采 
B-ISD 

















0 




















但 最 近 已 经 不 太 使 用 。 在 高 速 WAN 
MPLS 的 、 以 太 网 数据 帧 和 IP 分 组 的 











传输 线路 
传输 


53 5 
Pp， 截至 2000 年 左 
P 取 而 














定 长 





又 1 

















代 之 的 


是 POS ( Packet overSON 








要 














中 5 字 节 为 首部 ，48 字 节 为 有 效 载 
右 速 率 提升 到 OC-12 ( 622Mbit/s )， 
ET ) 或 者 基于 





























帧 中 继 


( Frame Relay ) 





与 








ok 


分 组 通信 方式 的 一 种 。 通 
纠正 在 行 ， 通 过 使 用 品质 优 





























这 











的 线 费 


A 
1 月 


E 够 





方式 比 X.25 网 络 更 简单 ， 但 整个 通信 网 络 的 可 靠 性 较 差 。 
降低 噪音 带 来 的 影响 以 及 线路 本 身 发 生 故 障 的 概率 。 


























可 以 提供 1.5Mbit/s 速率 的 通信 业务 。 


NT 


通信 提供 


过 























该 类 协议 技术 ， 不 过 该 业务 于 2011 


二 





FF 3 








终止 


个 名 为 super relay-FR 的 通信 业务 ， 即 使 用 了 


该 协议 的 错误 


























MPLS 





力 
Multiprotocol Label Switching ( 多 协 
组 不 再 像 IP 路 

















议 标签 交 








换 























~ 行路 




















上 











选择 ， 












































b 样 根据 地 址 
择 下 个 转发 的 路 由 器 。 由 于 路 














器 不 再 j 











行路 






































为 一 个 路 



































速 转发 分 组 的 情况 。MPLS 主 





电信 运营 





Ry 


称 ， 在 RFC3031 中 六 
器 分 配 一 个 标签 ， 
仅仅 负责 转发 分 组 ， 














佳 化 。 人 参与 通信 的 
以 此 为 依据 选 
因此 该 协议 可 以 用 在 
电信 运营 商 或 大 型 企业 的 大 规模 网 络 





行 了 标 ， 






























































-二 
上 rm 














器 ， 构建 














OD 


该 环境 用 于 IBM 大 型 机 、 中 型 机 等 之 间 的 互联 ， 属 于 封闭 网 络 系统 ， 目 前 也 已 向 开放 的 TCP/IP 过 渡 。 





译 者 注 
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( 续 ) 
协议 名 称 说 明 
RPR Resilient Packet Ring ( 弹性 分 组 环 ) 的 简称 ， 在 IEEE 802.17 标准 中 定义 。 使 用 光纤 构成 带宽 共享 的 环 
形 链 路 ， 拥 有 发 生 故 障 时 能 够 在 50 毫秒 内 折 回 的 RPR 保护 技术 。 物 理 层 支 持 以 太 网 以 及 SONET/SDH 
POS PPP over SONET 的 简称 ， 在 RFC1662 ( PPP in HDLS-like Framing ) 和 RFC2615 ( PPP over SONET/SDH ) 中 
定义 。 该 协议 使 PPP 分 组 可 以 无 需 使 用 ATM， 直 接 封装 成 SONET/SDH 数据 帧 的 形式 在 网 络 上 传输 














表 3-24 中 总 结 了 除 以 太 网 以 外 ， 路 由 需 使 用 的 物理 层 协议 SONET/SDH 的 详细 内 容 。 
人 至 殊 多 物理 层 协议 













































































































































































协议 名 称 说 明 

SONET/SDH Bellcore 公司 ( 现在 的 Telcordia 公司 )" 以 SONET ( Synchronous Opitical NETwork ) 的 名 称 提出 ， 
TU-T“ 以 SDH ( Synchronous Digital Hierarchy ) 的 名 称 进行 了 国际 标准 化 。 在 北美 地 区 一 般 称 为 
SONET， 在 欧洲 地 区 则 大 多 称 为 SDH， 因 此 记 为 SONET/SDH。 该 标准 定义 了 光 进 行 多 模 传输 的 数 
据 帧 格式 ， 该 格式 中 包含 了 传输 速度 以 及 控制 信号 等 信息 。SONET 使 用 OC-n ( Optical Carrier ) 来 表 
示 传 送 速率 

SONET/SDH 名 称 与 带宽 
SONET 传输 速率 、| SDH 系列 与 数据 | 有 效 载荷 带宽 本 
系列 2 (kbits ) 人 

OC-1 STS-1 STM-0 50.112 51.840Mbit/s 
OC-3 STS-3 STM-1 150,336 155.520Mbit/s 
OC-12 STS-12 STM-4 601,344 622.080Mbit/s 
OC-24 STS-24 - 1,202,688 1.244160Gbit/s 
OC-48 STS-48 STM-16 2,405,376 2.488320Gbit/s 
OC-192 STS-192 STM-64 9,621,504 9.953280Gbit/s 
OC-768 STS-768 STM-256 38,486,016 39.813120Gbit/s 























RSOH 
(Regenerator 
Section 


Overhead) 


有 效 载荷 
(Multiplexer 
Section 
Overhead 














125 微 秒 
SONET 的 数据 帧 格式 

















(QD) Telcordia 公司 在 2012 年 1 月 被 瑞典 爱立信 公司 收购 。 
@@ 即 著名 的 国际 电 联 组织 ， 其 发 布 的 规范 往往 有 着 很 高 的 权威 。 


译 者 注 





译 者 注 
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PP 分 组 以 SONET/SDH 数据 帧 格式 进行 传输 时 ， 路 由 需 内 会 进行 如 下 处 理 。 
e 发 送 时 
IP 一 PPP 一 FCS generation 一 Byte stuffing 一 Scrambling 一 SONET/SDH framing 
e 接收 时 


SONET/SDH framing 一 Descrambling Byte destuffing FCS detection 一 PPP 一 工 P 


国 Cable Network ( DOCSIS、 缆 线 调制 解 调 器 等 ) 

通过 使 用 有 线 电视 网 络 (CATV )，CATYV 局 端 也 能 够 为 用 户 提 供 互 联网 接 人 服务 "。 在 
ADSL、FTTH 普及 之 前 ，CATV 网 络 就 曾 向 用 户 提供 速率 为 几 Mbit/s 的 宽带 接 人 服务 。 

这 种 互联 网 接 入 需要 在 CATV 局 端 到 用 户 住 宅 的 前 半 段 路 程 使 用 光纤 线路 ， 通 过 OE 
( Optical/Electronic signal converter ) 即 光纤 / 电气 信号 转换 器 将 光 信 号 变 为 电气 信号 ， 后 半 段 路 
程 再 使 用 同 轴 电缆 完成 数据 的 交互 。 

而 在 用 户 住宅 一 端 则 使 用 同时 带 有 WAN 侧 同 轴 电 缆 接口 和 LAN 侧 以 太 网 接口 的 统 线 调 促 
解 调 器 ( cable modem )， 将 个 人 计算 机 与 CATV 网 络 相 连 。( 图 3-30 ) 


缆 线 调制 解 调 器 




















一 




















在 CATYV 局 端 所 配置 的 路 由 需 称 为 缆 线 路 由 器 (cable router ) 或 中 心 调 制 解 调 需 (center 
modem )。 

连接 缆 线路 由 器 和 缆 线 调制 解 调 器 的 通信 方式 在 早期 随 厂 商 的 不 同 而 不 同 , 但 目前 使 用 的 设 
备 基本 都 符合 1997 年 美国 CATV 同业 协会 MCNS ( Multimedia Cable Network System Partners ) 制 
定 的 DOCSIS ( Data Over Cable Service Interface Specifications ) 标准 。 

使 用 同 轴 电 缆 和 光纤 混合 组 网 时 ，90~600MHz 带宽 供 有 线 电视 业务 使 用 ，10~55MHz 带宽 
中 1.6~6.4MHz 作为 上 行 带 宽 (从 接 人 用 户 到 CATYV 局 端 )、600~770MHz 带宽 中 的 6MHz 作为 下 
行 带宽 (从 CATYV 局 端 到 接 人 用户 ) 提供 给 互联 网 接 入 业务 。 表 3-25 总 结 了 DOCSIS 各 个 版 本 
之 间 频 率 带 宽 和 速率 的 不 同 之 处 。 















































中 “与 中 国 上 海地 区 的 “有 线 通 ” 业 务 相 似 。 译 者 注 
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DOCSIS 各 版 本 之 间 的 差异 
























































版 本 功能 旺 行 下 行 

DOCSIS 1.0 频率 带宽 : 0.2~3.2MHz 频率 带宽 : 6MHz 

( 1997 年 ) 调制 方式 : QPSK、16QAM 调制 方式 : 64QAM、256QAM 
最 大 速率 . 10.24Mbit/s 最 大 速率 : 42.88Mbit/s 

DOCSIS 1.1 安全 性 、QoS 扩 频率 带宽 . 0.2~3.2MHz 频率 带宽 : 6MHz 

( 1999 年 ) 展 、 支 持 IP 多 播 ”| 调制 方式 : QPSK、16QAM 调制 方式 . 64OAM、256OAM 
最 大 速率 : 10.24Mbit/s 最 大 速率 : 42.88Mbit/s 

DOCSIS 2.0 提高 通信 速率 频率 带宽 : 0.2~6.4MHz 频率 带宽 : 6MHz 

( 2002 年 ) 调制 方式 : OPSK、8/16/32/64/128OA 调制 方式 , 64OAM、256OAM 
最 大 速率 ; 30.72Mbit/s 最 大 速率 : 42.88Mbit/s 

DOCSIS 3.0 信道 绑 定 、IPv6、 频率 带宽 : 0.2~6.4MHz 频率 带宽 : 6MHz 

( 2006 年) AES 加 密 调制 方式 : QPSK、8/16/32/64/128QA 调制 方式 . 64OAM、256OAM 
最 大 速率 : m x 30.72Mbit/s 宇 ' 最 大 速率 : m x 42.88Mbit/s 

注 1: DOCSIS 3.0 的 信道 绑 定 (channel bonding ) 能 够 提高 同时 使 用 多 个 信道 时 的 通信 速率 。m 表示 信道 的 数量 ,假定 上 行 








中 m=4， 下 行使 用 m=4 或 m=8 的 情况 比较 多 。 


国 XDSL 
日 本 从 1999 年 开始 在 商用 宽带 领域 使 用 ADSL 技术 。 因 为 在 那 之 前 使 用 的 拨号 或 ISDN 均 
属于 按 量 收费 的 罕 带 系统 ， 因 此 可 以 说 是 ADSL 使 定额 付费 的 高 速 互联 网 接 入 服务 得 到 了 普及 。 
ADSL 是 通过 在 双 绞 线 的 固定 电话 线 绕 ( 金属 线路 ) 上 复 用 数字 信号 来 接 入 互联 网 的 DSL 
( Digital Subscriber Line， 用 户 数 字 线 路 ) 线路 之 一 。 由 于 该 线路 下 行 (从 NTT 局 端 至 用 户 侧 ) 
和 上 行 (从 用 户 侧 到 NTT 局 端 ) 的 速率 不 同 ， 因 此 称 为 非 对 称 数字 用 户 线路 ( Asymmetric DSL )。 
在 ADSL 中 , 用 户 和 NTT 局 端 之 间 使 用 固定 电话 线 缆 连 接 ， 用 户 家 中 使 用 的 ADSL 调制 解 
调 恬 和 运营 商 局 端 使 用 的 宽带 远程 接 入 服务 器 ( Broadband Remote Access Server， 被 称 为 BRAS 
的 路 由 器 ) 之 间 使 用 L2TP 隧道 相连 (图 3-31 )。 而 用 户 家 中 的 个 人 计算 机 或 路 由 器 与 互联 网 服务 
供应 商 的 RAS ( Remote Access Server ) 之 间 则 通过 L2TP 隧道 封装 ， 使 用 PPPoE 协议 完成 连接 。 
BRAS 的 路 由 器 是 适用 于 电信 运营 商 的 高 端 路 由 器 。 用 户 则 可 以 使 用 ADSL 调制 解 调 器 与 路 
由 器 (或 个 人 计算 机 ) 两 台 设 备 组 网 ， 也 可 以 使 用 内 置 ADSL 调制 解 调 器 的 宽带 路 由 器 。 在 路 由 
顺 或 个 人 计算 机 中 ， 需 要 设 定 互联 网 服务 供应 商 在 签约 时 提供 的 、 用 于 连接 PPPoE 的 用 户 名 和 
密码 ， 并 以 此 作为 RAS 的 认证 信息 。 用 户 名 大 多 是 类 似 user@example.co.jp 这 种 ， 在 用 户 名 与 
ISP 域名 之 间 使 用 @ 符号 分 割 ， 类 似 电 子 邮件 的 格式 2。 























































































































中 NTT 局 端 指 运营 商 的 局 端 。 译 者 注 
@ 在 我 国 ， 中 国电 信 ADSL 宽带 接 入 业务 提供 的 用 户 名 不 是 这 个 格式 ， 而 是 





译 者 注 
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人 通过 PPP over Ethernet 连 接 














03.06 


@ 与 RAS 通 信 





了 解 路 








器 搭载 的 各 种 附加 功能 

















菏 附 同上 一 一 


油 





表 3-26 列 出 了 xDSL 的 分 类 信息 。 
xDSL 的 种 类 
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名 称 线路 距离 速度 说 明 
ADSL 1 对 2 线 5.4km 左右 | 上行 512k~4Mbit/s | 也 称 为 全 速 ADSL， 使 用 ITU-T 
(Asymmetric Digital |( 可 与 电话 线 下 行 1.5~52Mbit/s | G.992.1 标准 ( 也 称 为 G.dmt ) 的 DMT 
Subscriber Line， 非 对 称 | 路 通用 ) 调制 方式 ( Discrete MultiTone， 离 散 
数字 用 户 线路 ) 多 音调 )。 日 本 使 用 G.992.1 Annex C 

标准 

UADSL 1 对 2 线 5.4km 左右 | 上 行 512kbit/s， 下 | 也 称 为 简易 版 ADSL 或 半 速 ADSL， 
(Universal Asymmetric | ( 可 与 电话 线 行 1.5Mbit/s 组 网 无 需 分 离 器 ， 使 用 ITU-T G.992.2 
Digital Subscriber Line, | 路 通用 ) 标准 ( 也 称 G.lite )。 日 本 使 用 的 标准 
通用 非 对 称 数 字 用 户 线路 ) 是 G.992.2 Annex C 
VDSL 1 对 2 线 300m~ 上 行 1.5~2Mbit/s, | 使 用 最 大 30MHz 的 高 频 信号 ， 最 大 
(Very High Bitrate Digital | ( 可 与 电话 线 | 1.4km 下 行 13~52Mbit/s | 传输 距离 比 ADSL 短 ， 一 般 在 公寓 等 
Subscriber Line， 超 高 速 | 路 通用 ) 住宅 处 与 FTTH 线 缆 配 合 使 
数字 用 户 线路 ) 
HDSL 2 对 4 线 3.6km 2Mbit/s 上 下 行 采 用 相同 速率 的 对 称 型 DSL。 
(High-bit-rate Digital |( 或 3 对 6 线 ) (或 46Mbits ) 推荐 使 用 ITU-T G.991 标准 。 使 
Subscriber Line， 高 速率 200kHz 带宽 
数字 用 户 线路 ) 
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( 续 ) 

名 称 线路 距离 速度 说 明 
SHDSL ( Single-pair High- | 1 对 2 线 6km 2.3Mbit/s 和 HDSL 一 样 是 上 下 行 对 称 的 DSL。 
speed Digital Subscribe 使 用 1 对 线 缆 而 不 是 两 对 。 推 荐 使 用 
Line， 单 对 线 高 速 数 引 G.991.2 ( 也 称 为 G.shdsl ) 标 准 
户 线路 ) 
SDSL ( Symmetric Digital | 1 对 2 线 2.4~ 160k~2Mbit/s 上 下 行 对 称 的 DSL ( 速率 相同 )。 推 
Subscriber Line， 对 称 数 6.9km 荐 使 用 G.992.1 Annex H 标准 
字 用 户 线路 ) 






































另外 还 有 称 为 LRE (Long Reach Ethernet， 长 距离 以 太 网 ) 的 思科 公司 独 有 协议 ， 同 VDSL 
类 似 ， 使 用 UTP 线 缆 ， 支 持 半 径 为 1.5km、 速 率 为 5~15Mbit/s 的 通信 。 


03.06.05 “拨号 接 入 




















1993 年 日 本 在 开始 提供 商用 互联 网 接 人 服务 时 ， 是 采用 模拟 调制 解 调 需 通过 电话 线路 拨号 
接 人 互联 网 。 当 时 的 模拟 调制 解 调 器 ， 通 信 速 率 在 300bit/s~14.4kbit/s 左右 。 个 人 计算 机 连接 模 
拟 调制 解 调 器 ， 在 操作 系统 的 互联 网 连接 选项 中 输入 接 入 点 ISP 的 电话 号 码 、 用 户 名 、 密 码 等 信 
息 , 即 可 完成 接 入 ?。 接 入 点 配 有 支持 RAS ( Remote Access Server ) 功能 的 路 由 器 或 服务 器 作为 拨 
号 连接 的 服务 终端 。 

使 用 数字 业务 线路 ISDN ( Integrated Services Digital Network， 综 合 业务 数字 网 ) 时 ， 可 以 使 
用 终端 适 配 需 来 取代 模拟 调制 解 调 器 连接 个 人 计算 机 。 

1995 年 , 日 本 的 NTT 东 日 本 和 NTT 西日本 两 大 运营 商 开 始 提供 深夜 电话 费 固定 的 收费 方式 ， 
而 且 市 场 上 开始 销售 廉价 的 终端 适配器 ， 以 这 两 件 事 为 契机 拨号 接 和 人 互联 网 的 方式 迅速 普及 开 来 。 

拨号 接 人 互联 网 时 ， 数 据 链 路 层 使 用 PPP 点 对 点 协议 连接 个 人 计算 机 和 ISP 的 RAS。 当 
RAS 作为 路 由 器 使 用 时 ， 大 多 数 需要 将 RADIUS 服务 器 作为 认证 服务 器 协同 使 用 (图 3-32 )。 
RADIUS ( Remote Authentication Dial In User Service ) 即 远 程 认 证 拨号 用 户 服 务 ， 定义 于 
RFC2865/2866 中 。 在 RAS 和 RADIUS 服务 需 之 间 采 用 RADIUS 协议 完成 认证 和 计 费 管理 。 


















































拨号 接 入 流程 
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@ 20 世纪 90 年 代 末 期 至 2000 年 初期 拨号 上 网 在 中 国 很 流行 译 者 注 
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随 着 手机 的 普及 ， 手 机 和 了 PHS" 专用 的 调制 解 调 器 出 现 了 ， 它 使 用 户 可 以 像 固定 电话 网 络 那 
样 使 用 移动 网 络 拨号 接 人 互联 网 。 即 使 当前 FTTH 已 成 为 主流 接 人 线路 ， 但 在 移动 环境 下 还 是 有 
大 量 的 用 户 通 过 拨号 接 入 互联 网 。 

另外 ， 还 有 不 少 在 路 由 需 中 进行 使 用 ISDN 或 固定 电话 线路 的 拨号 连接 设置 ， 以 此 作为 常用 
接 和 人 线路 备用 方案 的 情况 。 此 时 ， 即 使 主线 路 接口 断路 ， 路 由 需 也 会 自动 拨号 接 和 互联网。 


























03.06.06 ”元 余 


加 路 由 器 元 余 

互联 网 最 初 是 基于 军事 目的 开发 的 ， 即 使 一 部 分 路 由 器 发 生 故 障 ， 也 能 够 通过 链 路 的 转换 来 
继续 通信 过 程 ， 即 具有 不 间断 通信 的 机 制 。 但 是 企业 网 络 与 互联 网 之 间 的 网 关 所 在 一 一 路 由 器 或 
适用 于 电信 运营 商 的 核心 路 由 器 等 一 旦 发 生 故 障 ， 也 往往 会 造成 很 大 的 有 麻烦。 故障 无 法 完全 杜 
绝 ， 而 且 在 定期 维护 时 同样 需要 将 路 由 需 与 网 络 断 开 ， 为 了 在 这 些 情况 下 依旧 能 够 向 用 户 提供 持 
续 不 断 的 业务 ， 就 需要 将 路 由 顺 宛 余 。 


e 冷 备份 和 热 备 份 

冷 备份 (cool standby ) 是 指 配备 平时 不 运行 的 备用 设备 ， 当 运行 设备 发 后 故障 时 ， 使 用 备用 
设备 替换 。 备 用 设备 一 般 不 放 入 电源 也 不 接 人 网 络 ， 存 放 在 用 户 处 或 销售 公司 、 制 造 公 司 的 仓 
库 中 。 由 于 在 发 生 故 障 时 ， 只 需 将 故障 设备 进行 物理 替换 即 可 ， 因 此 该 类 产品 设计 与 使 用 非常 简 
单 ， 但 需要 花费 一 定 的 时 间 进 行 设备 的 替换 与 启动 ,在 这 期 间 将 会 中 断 用 户 的 业务 。 另 外 ， 自 动 
同步 设置 和 连续 会 话 也 无 法 进行 。 

热 备 份 (hot standby ) 是 指 在 设备 运行 的 同时 和 运行 备用 设备 ， 当 运行 设备 发 生 故 障 时 ， 能 够 
自动 将 换 备用 设备 。 如 果 速 度 够 快 ， 这 一 切换 过 程 可 以 在 发 生 故 障 的 几 秒 后 完成 。 

























































































e 替换 与 回 退 

在 宛 余 结构 中 ， 停 止 运行 设备 ， 使 用 备用 设备 进行 工作 的 过 程 称 为 替换 ， 英 语 中 称 为 fail-over 
或 switch-over。switch-over 有 手工 切换 的 意思 ， 但 是 作为 路 由 器 功能 之 一 ， 使 用 元 余 协议 进行 替 
换 的 过 程 也 可 称 为 switch-over。 

赫 换 后 再 次 恢复 到 原来 的 运行 设备 ， 也 就 是 从 处 于 运行 状态 的 备用 设备 再 切换 到 原来 的 运 
行 设 备 的 过 程 称 为 回 退 ， 英 语 中 称 为 fail-back 或 switch-back。 

由 两 台 路 由 器 组 成 的 热 备 份 机 制 中 ， 使 其 中 1 台 路 由 器 处 于 优先 运行 状态 的 操作 叫做 先 占 
( preempt ) 操作 。 如 果 执 行 了 先 占 操作 ， 当 恢复 由 于 故障 导致 当 机 的 路 由 器 时 ， 即 使 当时 处 于 运 



































QD 与 中 国电 信 的 小 灵通 制式 一 致 。 





译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


170 | 


第 3 章 ”路 由 器 和 它 庞 大 的 功能 


行 状 态 的 备用 设备 并 没有 发 生 任何 问题 ， 也 会 强制 切换 到 原来 的 运行 设备 。 


e 路 由 器 元 余 的 种 类 
路 由 器 元 余 的 种 类 如 表 3-27 所 示 。 


路 由 器 元 余 的 类 型 


种 类 








功能 说 明 








硬件 内 部 的 元 余 结 构 























器 中 ， 一 般 会 在 机 框 中 安装 


























块 路 





引 警 。 当 





























引擎 元 余 化 在 高 端 路 
引擎 发 生 故 障 时 ， 立 刻 将 \ 























务 切 换 到 备 路 由 引 








擎 上 ， 该 


























过 程 可 以 在 不 丢失 分 组 的 前 提 下 继续 提供 





路 





服务 









































根据 链 路 汇聚 情况 使 物理 接 里 网 络 接口 汇聚 成 逻辑 接 





























， 当 组 成 逻辑 接 





的 某 个 



































宛 余 化 发 生 故 障 时 ， 其 他 物理 接 














可 以 继续 收发 通信 数据 























使 用 多 个 机 框 组 成 的 



































主 备 方式 ( Active-Standby ) 准备 两 台 路 














郊 余 结构 




















器 ， 其 中 一 台 作 为 正常 运行 业务 的 活跃 设备 
( active )， 也 可 以 称 为 主 设备 ( master ) 或 六 
a 





设备 ( primary )o 


























障 时 替换 的 备 











] 双 


standby )， 也 可 以 称 





(backup )、 从 设备 


活跃 设备 和 备 























设备 ( slave ) 或 次 要 设备 ( secondary )。 














设备 必须 共享 关于 设备 的 设置 信息 





























双 活 方式 ( Active-Active ) 准备 两 台 路 由 器 ， 其 中 一 台 作 为 








全 








设备 ( primary )， 另 一 台 














作为 次 要 设备 ( secondary )， 二 者 同 


寺 运 行 来 组 成 元 余 结 构 。 

















这 种 方式 可 以 通过 与 负载 均衡 设备 并 





用 或 者 设 











端 一 侧 的 路 由 信息 来 达到 负载 均衡 的 
































DNS、 客 户 





的 


























集群 方式 ( Cluster ) 在 主 备 方式 或 双 活 方式 中 ， 使 用 3 台 
结构 的 方式 





























义 上 的 硬件 协同 组 成 元 余 














在 实行 主 备 方式 ( Active-Standby ) 时 ,会 使 用 类 似 VRRP 的 元 余 协议 。 尽 管 也 存在 像 思科 


J 


司 的 HSRP 这 样 的 三 商 独 有 宛 余 协议 ， 但 如 果 想 在 不 同 厂商 生产 的 路 由 器 之 间 构 成 元 余 结构 ， 





\ 
As 
还 是 需要 参考 RFC 标准 的 VRRP 宛 余 协议 。 








主 备 方式 是 将 两 台 物 理 路 由 还 组 成 1 台 虚 拟 的 路 由 器 ， 这 时 虚拟 路 由 融 的 IP 地 址 以 及 MAC 
地 址 由 两 台 物 理 路 由 需 分 担 。 
双 活 (Active-Active ) 方式 还 有 如 下 特点 。 


e 使 用 负载 均 衔 (load balancer ) 技 术 
e 适用 于 两 组 主 备 结构 
e 运用 等 成 本 多 路 径路 由 或 DNS 轮 询 等 技术 





由 1 台 活 跃 设备 和 1 台 备 月 








式 ， 通 常用 于 企业 网 络 的 数据 中 心 以 及 互联 网 网 关中 。 
而 在 集群 中 则 是 由 N 人 活跃 设备 和 1 台 备 用 设备 组 成 N+1 匈 余 结 构 。 在 电信 运营 商 等 需要 





处 理 大 流量 通信 的 情况 下 ， 路 由 顺 大 多 采用 N+1 集 得 
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设备 组 成 的 元 余 结 构 称 为 1+1 宛 余 结 构 ， 是 


最 常用 的 热 备份 方 

















和 的 元 余 形 式 。 例 如 ， 如 果 使 用 1 台 路 由 器 


版 权 
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能 够 处 理 3 分 之 1 总 业务 ， 那 么 就 需要 采用 N=3、 即 共 4 台 设 备 组 成 集群 。 
除 此 以 外 ， 由 NN 侣 活跃 设备 和 NN 台 备 用 设备 组 成 的 元 余 结构 称 为 2N 宛 余 结构 。 





加 VRRP 

VRRP ( Virtual Router Redundancy Protocol， 虚 拟 路 由 宛 余 协议 ) 是 RFC5798 中 定义 的 协议 ， 
用 于 路 由 器 的 宛 余 与 复 用 。 通 过 该 协议 ， 可 以 将 多 台 路 由 器 组 成 1 个 群 组 ， 其 中 1 台 为 活跃 设 
备 ， 其 余 为 备用 设备 。 与 此 同时 ，! 台 路 由 器 既 可 以 属于 多 个 群 组 ， 也 可 以 通过 设置 成 为 双 活 方 
式 ， 组 成 N+1 的 元 余 结构 。 

位 于 同一 群 组 的 路 由 器 之 间 使 用 224.0.0.18 的 组 播 地 址 进行 通信 ， 交 互 协议 号 为 112 的 
VRRP 控制 分 组 。 

每 个 群 组 都 可 以 视 作 1 台 虚 拟 路 由 器 ( virtual router )， 与 各 个 物理 路 由 器 的 MAC 地 址 不 同 ， 
虚拟 路 由 需 中 的 虚拟 MAC 地 址 是 按照 群 组 分 配 的 ， 并 由 主 设备 (master ) 来 使 用 。 虚 拟 MAC 
地 址 值 的 形式 一 般 为 00-00-5E-00-01-XX， 其 中 XX 部 分 由 群 组 固有 的 VRID (Virtual Router 
Identifier， 虚 拟 路 由 器 标示 符 ) 来 分 配 。 

虚拟 路 由 器 接口 使 用 的 卫 地 址 也 称 为 虚拟 卫 地 址 , 该 IP 地 址 是 否 被 物理 路 由 器 实际 使 用 
这 一 点 并 不 重要 ， 但 必须 保证 与 路 由 需 物 理 接口 地 址 处 于 同一 子 网 中 。 

同一 个 群 组 内 的 物理 路 由 器 会 被 分 配 1~255 范围 的 优先 级 (priority ) 数值 ， 优 先 级 值 最 高 的 
物理 路 由 需 会 被 选择 为 主 设备 。 

在 默认 状态 时 ， 主 设备 每 隔 1 秒 向 群 组 内 的 成 员 发 送 VRRP 通知 消息 ， 如 果 在 3 秒 内 群 组 没 
有 收 到 来 自主 设备 的 消息 则 判断 主 设备 已 经 发 生 故 障 。 

一 旦 主 设备 发 生 了 故障 ， 优 先 级 最 高 的 备用 机 将 升级 为 主 设 备 。 同 时 还 会 给 发 生 故 障 的 原 主 
设备 分 配 到 一 个 较 低 的 优先 级 ， 以 便 在 快速 切换 状态 时 避免 切换 带 来 的 拌 动 。 






























































国 HSRP 
HSRP ( Hot Standby Router Protocol， 热 备份 路 由 协议 ) 协议 是 VRRP 协议 的 前 身 ， 由 思科 公 
司 完成 标准 化 工作 之 后 成 为 该 公司 的 独 有 协议 ， 分 为 版 本 1 ( HSRPv1 ) 和 版 本 2 (HSRPv2 )， 只 
能 在 运行 可 思科 公司 IOS 系统 的 设备 上 使 用 ， 无 法 与 其 他 协议 替换 。 另 一 方面 ，VRRP 则 是 由 
RFC 完成 了 标准 化 ， 各 个 三 商 的 路 由 器 只 需 文 持 该 协议 惨 可 互联 互通 。 
两 个 协议 的 对 比如 表 3-28 所 示 。 
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比较 VRRP 和 HSRP 
名 称 VRRP HSRPv1 HSRPVv2 
标准 RFC 标准 (在 RFC5798/3768/2338 文 | 思科 公司 独 有 标准 ( 在 | 思科 公司 独 有 标准 
档 中 以 标准 的 形式 记载 ) RFC2281 文档 以 信息 介 
绍 的 形式 记载 ) 
处 于 运行 状态 设备 的 称呼 | Master Active Active 
处 于 备用 状态 设备 的 称呼 | Backup Standby Standby 
组 群 数 0~255 (VRID ) 0~255 ( HSRPID ) 0~4095 ( HSRP ID ) 
定时 器 精度 秒 秒 训 秒 
认证 MD5 明文 MD5 
先 占 默认 生效 默认 无 效 默认 无 效 
消息 IP 地 址 224.0.0.18 224.0.0.2 224.0.0.102 
消息 端口 号 协议 号 112 UDP 1985 端 UDP 1985 端 
虚拟 MAC 地 址 00:00:5e:00:01:XX ( XX=VRID ) 00:00:0c:07:ac:XX|00:00:0c:9f:fX:XX 
( XX=HSRP ID ) ( XXX=HSRP ID ) 
优先 级 数值 1~255。 默 认 值 为 100。 优 先 级 数值 | 1~255。 黑 认 值 为 100。 优 先 级 数值 高 的 成 为 活跃 


高 的 成 为 主 设 备 


设备 。 优 先 级 相同 时 ， 





|P 志 也 址 值 大 的 成 为 活跃 设备 醒 





存活 维持 ( Keep Alive ) 











使 用 多 播 地 址 224.0.0.18 发 送 VRRP 
通告 ( advertisement )。 以 1 秒 为 间 
隔 ( 通告 间隔 值 ) 发 送 消息 ， 如 果 接 收 
方 在 Master _Down_lnterval 间隔 ( 默 



































性 3 秒 


























则 视 为 主 设备 当 机 


更 用 多 播 地 址 224.0.0.2 发 送 
hello 间隔 值 ) 发 送 一 
Holdtime 间隔 ( 默认 为 10 秒 ) 内 没有 收 到 该 消息 ， 


Hello 消息 。 默 认 
次 ， 如 果 接 收 方 在 
































认为 3 秒 ) 内 没有 收 到 该 消息 ， 则 视 
为 主 设备 当 机 
IPv6 VRRP 版 本 3 ( RFC5798 ) 中 支持 不 支持 支持 
国 GARP 
在 使 用 主 备 方式 的 元 余 结构 中 ， 网 络 接口 会 分 配 到 一 个 虚拟 IP 地 址 。 这 个 IP 地 址 在 进行 路 


由 选择 时 会 被 提供 给 路 由 需 使 用 ， 也 就 是 说 主 设备 A 和 备用 设备 B 会 带 有 同一 虚拟 IP 地 址 。 虽 




















然 两 台 设备 共用 一 个 耳 地址 ,但 设备 A 和 设备 B 的 MAC 地 址 却 是 不 同 的 。 当 A 发 生 故 障 时 ， 








设备 B 会 切换 到 主 设备 状态 ， 





另外 ， 





对 MAC 地 址 表 进 行 更 新 。 





需要 补充 的 是 ，GARP 还 可 以 用 于 检测 在 DHCP 的 过 程 中 IP 地 址 是 否 有 重复 分 丁 
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这 时 就 需要 路 由 器 向 所 连接 的 交换 机 发 送 一 条 

的 MAC 地 址 已 变更 ”的 消息 ， 这 一 过 程 称 为 GARP ( Gratuitous ARP， 无故 ARP )。 i 
机 能 够 将 原本 发 送 至 设备 A 的 数据 帧 及 时 更 正 为 向 设备 B 发 送 (图 3-33 )。 

当 设备 处 于 先 占 状态 时 或 者 向 网 络 接口 捐 





“虚拟 IP 地 址 对 应 
这 就 使 交换 

















和 入 电缆 时 ， 也 会 触发 GARP， 并 通知 交换 机 














的 问题 。 
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不 使 用 虚拟 MAC 时 ， 通 过 GARP 更 新 交换 机 中 的 ARP 表 


物理 MAC 地 址 : 11:22:33:aa:bb:cc 
物理 |P 地 址 : 10.1.1.1 
虚拟 IP 地 址 : 10.1.1.254 






















物理 MAC 地 址 : 11:22:33:dd:ee:ff 
EIP 地 址 : 10.1.1.2 





此 时 ，PC 的 ARP 表 为 [10.1.1.254= 
11:22:33:aa:bb:cc]， 当 ping 地 址 为 
10.1.1.254 时 ， 返 回 设备 A 的 地 址 












物理 MAC 地 址 : 11:22:33:dd:ee:ff 


物理 IP 地 址 : 10.1.1.2 
虚拟 IP 地 址 : 10.1.1.254 









里 MAC 地 址 : 11:22:33:aa:bb:cc 
EIP 地 址 : 10.1.1.1 




























i |[@ 设 备 B 发 送 GARP 消 
息 ， 告 知 10.1.1.254 
的 MAC 地 址 变更 为 
11:22:33:dd:ee:ff 












加 活跃 设备 (A) 当 机 
时 ， 立 刻 切换 到 备 
设备 (B ) 































CO) PC 收 到 GARP 消息 后 ， 
更 新 ARP 地 址 表 为 
[10.1.1.254=11:22:33: 
dd:ee:ff] 
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gs 下列 ”在 VRRP 中 发 送 虚 拟 MAC 地 址 已 向 备用 设备 转移 的 消息 并 告知 交换 机 更 新 MAC 地 址 表 的 GARP 


物理 MAC 地 址 : 11:22:33:aa:bb:cc 
物理 IP 地 址 : 10.1.1.1 
































虚拟 IP 地 址 : 10.1.1.254 物理 MAC 地 址 : 11:22:33:dd:ee:ff | 
虚拟 MAC 地 址 : 00:11:22:33:44:55 物理 IP 地 址 : 10.1.1.2 






此 时 交换 机 的 MAC 地 址 表 为 
[00:11:22:33:44:55=Port1] 


物理 MAC 地 址 : 11:22:33:dd:ee:ff 
物理 IP 地 址 : 10.1.1.2 





























物理 MAC 地 址 : 11:22:33:aa:bb:cc 上， 虚拟 IP 地 址 : 10.1.1.254 
物理 IP 地 址 : 10.1.1.1 虚拟 MAC 地 址 : 00:11:22:33:44:55 
































| | 名 用 设备 会 发 送 一 条 


一 ”GARP 消息 告知 交 
~ HH | 换 机 10.1.1.254 的 


















— : MAC 地 址 变更 为 
中 活跃 设备 (A) 人 00:11:22:33:44:55 
地 址 由 备用 设 
































(3) 交换 机 接收 到 GARP 消息 后 ， 


将 MAC 地 址 表 信 息 更 新 为 
[00:11:22:33:44:55=Port2 








03.06.07 认证 





认证 是 指 用 户 在 接 入 网 络 时 ， 网 络 要 求 用 户 出 示 设 备 的 认证 信息 (用 户 名 以 及 密码 )、 验 证 
用 户 输 入 的 认证 信息 是 否 正确 、 确 认 正 确 后 允许 用 户 接 入 网 络 这 一 系列 过 程 。 认 证 信息 不 正确 
时 ， 网 络 将 拒绝 用 户 的 接 入 请 求 。 认 证 功能 有 很 多 种 ， 例 如 管理 员 身 份 认 证 、 拨 号 上 网 接 入 认证 
以 及 VPN 等 用 户 认证 。 


加 RADIUS 





RADIUS 是 远程 认证 拨号 用 户 服务 ( Remote Authentication Dial In User Service ) 的 简称 。 
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路 由 器 可 以 和 外 部 RADIUS 服务 器 协同 完成 路 由 需 管 理 员 身 份 认证 或 客户 端 用 户 的 账户 
认证 。 

例如 ， 通 过 路 由 器 拨号 上 网 或 进行 PPP 连接 时 ， 如 果 在 客户 端 登陆 界面 输入 用 户 名 和 密码 ， 
连接 时 这 些 信息 就 会 与 路 由 器 进行 交互 。 这 时 路 由 器 会 将 从 客户 端 接收 到 的 信息 中 继 到 RADIUS 
服务 器 ，RADIUS 服务 器 认证 成 功 后 才 人 允许 用 户 接 入 。 

RADIUS 使 用 1645 和 1812UDP 端口 将 用 户 的 密码 散 列 后 发 送 。 由 于 该 协议 由 RFC 标准 化 ， 
因此 各 个 设备 厂商 的 产品 均 提 供 了 对 该 协议 的 支持 。 























国 TACACS+ 

TACACS+ 是 终端 访问 控制 器 控制 系统 ( Terminal Access Controller Access-Control System ) 的 
简称 ， 由 RFC1492 文档 定义 “。 该 系统 在 20 世纪 80 年 代 作 为 UNIX 远程 接 人 认证 协议 使 用 ， 随 
后 由 思科 公司 在 1990 年 扩展 开发 为 XTACACS (扩展 TACACS )， 并 逐步 发 展 成 了 TACACS+。 

TACACS+ 和 TACACS 的 名 称 几 乎 完全 相同 ， 功 能 却 有 很 大 的 差别 。 

与 RADIUS 只 对 应 IP 协议 不 同 ,除了 IP 协议 以 外 TACACS+ 还 能 够 支持 多 种 工 3 协议 ， 如 
AppleTalk、NetBIOS、Novell( NASI )、X.25 等 。 

另外 ， 该 协议 使 用 TCP 49 号 端口 ， 能 够 对 分 组 的 有 效 载荷 进行 加 密 ， 因 此 具有 高 安全 性 的 
特点 。 但 只 有 思科 的 路 由 器 和 一 部 分 UNIX 系统 使 用 该 协议 ，RFC 也 没有 对 其 进行 标准 化 。 
































03.06.08 QoS 























QoS (Quality of Service， 服 务 质量 ) 是 保障 通信 质量 的 功能 ， 主 要 分 为 带宽 控制 和 优先 级 控 
制 两 类 。 不 过 也 有 根据 通信 量 的 优先 级 来 控制 带宽 的 情况 。 使 用 优先 级 对 通信 量 进 行 分 类 的 过 
程 称 为 类 别 ( classification )， 根 据 通信 量 的 每 一 个 类 别 进 行 带宽 控制 或 优先 级 控制 的 过 程 则 称 为 
CoS (Class of Service， 服 务 类 别 )。 
































国 优先 级 与 标记 

RFC791 定义 的 了 PP 首部 中 有 一 个 称 为 ToS ( Type of Service， 服 务 类 型 ) 的 数据 域 ， 该 数据 域 
在 控制 IP 分 组 优先 级 时 使 用 。IP Precedence、DSCP 以 及 Tog 域 中 的 参数 会 随 着 不 同年 份 的 不 同 
标准 而 变化 (图 3-35 )。 





四 历史 上 是 在 思科 公司 的 帮助 下 ， 由 美国 明尼苏达 大 学 在 该 RFC 文档 中 描述 了 思科 对 TACACS 的 扩展 ， 并 没有 对 之 进 
行 标准 化 定义 。 译 者 注 
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IPv4 首部 ToS 数据 域 的 变化 


RFC 791 





RFC 1349 ( 1992 年 ) IP Precedence 


PFC3168 (20014)| Dscop | 





对 于 要 














DSCP 


比如 ， 将 拥有 某 个 优先 级 数值 的 分 组 全 部 放 到 PQ 优先 队列 中 。 








6 7 比特 顺序 





( 1981 年 ) IP Precedence ToS | oo 


有 相同 IP Precedence 以 及 DSCP 值 的 分 组 将 采用 同一 优先 级 进行 转发 控制 ( 表 3-29 )。 


根据 发 送 源 、 发 送 目 的 、 端 口号 、 协 议 等 各 种 信息 ， 在 IP 首部 的 Tos 数据 域 中 填 入 或 变更 
某 值 的 功能 称 为 优先 级 标记 ( Marking )。 



























































IP Precedence 与 DSCP 的 种 类 
I 忆 Precedence DSCP 
数值 二 进 制 服务 类 型 值 二 进 制 六 ? 类 别 
0 000 Routine 0 O000xxx 尽力 服务 ( Best Effort ) 
1 001 Priority 8 001xxx AF ( Assured Forwarding ) 类 别 1 
2 010 Immediate 16 010xxx AF 类 别 2 
3 011 Flash 24 011xxx AF 类 别 3 
4 100 Flash override 32 100xxx AF 类 别 4 
5 101 Critical 40 101xxx EF ( Express Forwarding ) 
6 110 Internetwork control 48 110xxx Contro 
2 111 Network control 56 111xxx Contro 
注 1: 二 进 制 数 值 中 的 x 表示 可 以 填 入 0 或 1。 
国 保持 缓存 与 队列 处 理 
分 组 从 路 由 器 网 络 接口 转发 时 ， 会 暂 存 于 内 存 中 的 数据 缓存 (buffer ) 中 。 每 个 网 络 接口 均 有 



































缓存 ， 在 缓存 中 存放 数据 的 过 程 称 为 保持 缓存 (buffering )。 当 通信 线路 上 遇 到 拥塞 或 冲突 时 ， 分 
组 暂时 无 法 从 网 络 接口 转发 到 线路 上 ， 因 此 需要 和 暂时 保存 在 缓存 中 ， 等 到 线路 允许 时 再 次 发 送 。 
一 般 而 言 ， 分 组 在 缓存 中 以 FIFO ( first-in first-out， 先 人 先 出 ) 的 方式 处 理 。FIFO 方式 构成 的 数据 
称 为 队列 ( queue ) 或 等 待 队 列 ， 而 分 组 在 路 由 器 上 等 待 处 理 的 过 程 则 称 为 队列 处 理 ( queuing )。 





QD” 即 Priority Queue， 优先 级 队列 。 








译 者 注 
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在 日 常生 活 中 也 有 队列 处 理 的 例子 。 比 如 在 超市 结账 时 ， 超 市 中 有 5 台 结 账 设备 ， 也 就 是 说 
会 有 5 个 等 竺 队列。 等待 结账 的 人 相当 于 路 由 需 中 的 分 组 ， 超 市 中 没有 人 所 以 没有 人 需要 结账 的 
状态 就 是 当前 没有 发 生 拥 塞 。 反 之 ， 当 所 有 结账 设备 前 都 有 人 在 结账 ， 也 就 是 说 结账 设备 前 形成 
了 等 待 队列 时 ， 也 就 是 发 生 了 拥塞 。 


队列 处 理 的 流程 




























































































































































































国 附带 优先 级 的 队列 处 理 

路 由 器 转发 的 分 组 中 存在 着 各 种 各 样 的 数据 ， 比 如 时 延 很 小 的 VoIP 和 流 媒体 ( Streaming ) 
等 数据 ，FTP、 邮 件 、Web 网 页 浏览 等 虽然 存在 时 延 但 不 会 造成 什么 问题 的 数据 等 等 。 若 对 这 些 
数据 均 采 用 同一 标准 进行 FIFO 队列 处 理 的 话 ， 将 会 出 现 路 由 融 为 了 转发 大 量 FTP 数据 而 导致 IP 
电话 无 法 使 用 的 问题 。 

为 了 解决 这 一 问题 ， 路 由 需 需 要 采用 附带 优先 级 的 队列 处 理 方式 。 

优先 级 是 根据 下 面 这 些 信 息 定义 的 。 











e 发 送 源 或 发 送 目的 地 的 卫 地 址 、 协 议 编号 、 目 标 端口 号 。 
e IP 首部 的 ToS 数据 域 或 DSCP 数据 域 。 























表 3-30 总 结 了 附带 优先 级 队列 处 理 的 几 种 类 型 。 
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附带 优先 级 队列 处 理 的 种 类 
名 称 说 明 


PQ ( Priority Oueuing， 优 先 级 队列 ) | 根据 优先 级 高 低 决定 转发 顺序 ， 优 先 级 越 高 的 分 组 越 容易 被 转发 。 思 科 公 司 的 路 
器 中 ， 按 优先 级 从 高 到 低 依次 提供 了 high、medium、normal、low 四 个 优先 
级 队列 。 接 收 到 的 分 组 根据 以 下 信息 分 类 。 

e TCP/UDP 端口 号 

。 分 组 输入 接 
。 分 组 大 小 

e 是 否 已 被 分 片 
e 访问 控制 列表 中 记录 的 信息 

当 分 类 完成 后 ， 将 这 些 分 组 分 配 到 各 自 的 优先 级 队列 中 。 路 由 器 会 保障 高 优先 级 
队列 的 带宽 ， 只 要 高 优先 级 队列 中 存在 未 被 发 送 的 分 组 ， 低 优先 级 队列 中 保存 的 


分 组 就 会 一 直 等 待 下 去 


CQ ( Custom Queuing， 定 制 队列 ) | 作为 CBWFQ 和 WFQ 配合 使 用 的 情况 较为 普遍 。 与 PQ 相同 ， 会 根据 访问 列表 
等 信息 对 分 组 进行 分 类 ， 但 只 需 设 置 每 个 队列 中 分 组 的 数目 或 字 节 数 。 随 后 将 采 
用 轮 询 ( round-robin ) 的 方式 进行 分 组 转发 ， 例 如 设置 网 络 接口 对 应 的 队列 1 中 
允许 有 50KB 的 分 组 ， 队 列 2 为 30KB， 队 列 3 为 10KB， 这 时 系统 就 会 等 到 队 
列 1 存 满 50KB 的 分 组 后 再 进行 转发 ， 接 着 轮 到 队列 2 存储 到 30KB 的 分 组 后 进 
行 转发 ， 最 后 轮 到 队列 3 满 10KB 后 转发 。 随 后 再 次 回 到 队列 1 中 ， 等 待 下 一 批 
50KB 的 分 组 存 满 后 ， 再 次 进入 上 述 转发 顺序 。 
PQ 机 制 中 ， 有 可 能 会 发 生 优先 级 低 的 队列 中 的 分 组 永远 无 法 转发 的 情形 ， 这 会 
导致 对 应 的 应 用 发 生 中 断 。 而 CQ 则 可 以 避免 这 一 问题 。 在 思科 公司 的 路 由 器 
中 ， 每 个 网 络 接口 都 可 以 对 应 生成 16 个 转发 队列 
WFQ ( Weighed Fair Queuing， 加 | PO 和 CQ 属于 管理 员 设 置 的 静态 队列 处 理 机 制 ，WFQ 则 能 够 通过 识别 流 ( flow， 
权 公 平 队列 ) 发 送 源 、 发 送 目的 地 的 IP 地 址 和 端口 号 一 致 的 通信 内 容 组 合 ， 相 当 于 一 个 TCP 
连接 )， 在 网 络 发 生 拥塞 时 自动 生成 队列 。 当 FQ ( Fair Queuing， 公 平 队 列 ) 中 发 
生 拥 塞 时 ， 网 络 接 口上 所 有 的 队列 将 采用 同一 大 小 的 带宽 ( bit/s 数值 ) 转 发 ， 基 
此 尺寸 较 小 的 分 组 相对 于 尺寸 较 大 的 分 组 更 容易 被 转发 。 而 在 WFOQ 中 每 个 队列 
( 以 流 为 单位 ) 都 会 以 其 中 IP 分 组 首部 的 1P Precedence 值 为 基础 ， 分 配 一 个 权 
重 ( weight ) 值 。IP Precedence 数值 越 大 ， 权 重 值 越 小 ， 意 味 着 可 以 使 用 更 多 的 
带宽 资源 。 思 科 公司 的 路 由 器 中 能 够 使 用 4096 个 这 样 的 队列 






































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































































CBWFO ( Class-based Weighted | 集合 了 CQ 和 WFOQ 的 特点 ， 规 定 了 每 个 队列 所 需 保 障 的 最 低 带 宽 。 与 WFOQ 的 
FairOueuing， 基 于 类 别 的 加 权 公 | 优先 级 ( 权重 ) 取 决 于 1IP 分 组 首部 的 IP Precedence 相对 应 ，CBWFOQ 中 只 需 根 
平 队列 ) 据 网 络 协 议和 1P 地 址 就 可 以 指定 优先 级 ， 并 依照 不 同 的 优先 级 控制 传输 速率 、 

调整 分 组 废弃 等 待 时 间 。 经 常 使 用 在 IP 电话 这 类 对 传输 时 延 和 抖动 比较 敏感 的 


























应 用 中 。 思 科 公司 的 路 由 器 中 可 以 提供 最 多 64 个 该 类 型 的 队列 
































































































































LLO ( Low Latency Oueuing， 低 延 | 集合 了 PQ 与 CBWFOQ 的 特点 。1 个 网 络 接口 在 配备 CBWFOQ 的 同时 ， 还 准备 了 
迟 队 列 ) 个 寺 定 应 用 通信 专用 的 PQ 队列 。 最 优先 的 分 组 在 PQ 队列 中 获得 最 优先 
的 处 理 ， 其 余 的 通信 和 包 则 由 CBWFOQ 保障 一 定 的 带宽 























加 避免 拥塞 
路 由 器 每 个 网 络 接口 的 通信 线路 速率 都 是 有 限 的 ， 当 出 现 了 超过 通信 速率 的 高 通信 量 分 组 
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时 ， 转 发 出 口 的 网 络 接口 将 会 出 现 拥 塞 现 象 。 这 时 ， 转 发 出 口 的 缓存 和 转发 队列 中 会 堆 满 待 转发 
的 分 组 ， 之 后 进入 缓存 的 分 组 则 被 丢弃 ( Tail-Drop， 尾 部 丢弃 )。 当 发 生 尾 部 丢弃 后 ， 该 路 由 器 
所 经 链 路 上 的 所 有 TCP 连接 分 组 也 将 被 一 齐 丢弃 ， 路 由 带 会 对 大 量 TCP 连接 同时 采取 进入 重 发 
控制 或 减少 窗口 尺寸 等 一 系列 流量 控制 措施 。 当 拥塞 得 到 缓解 后 ，TCP 连接 会 逐渐 增 大 窗口 尺 
寸 ， 从 而 再 度 导 致 大 量 数据 的 到 来 而 引发 再 次 拥塞 ， 整 个 网 络 会 进入 一 个 恶性 循环 ( 即 TCP 的 
全 局 同步 现象 ，global TCP synchronization ) 的 过 程 ， 使 网 络 利 用 率直 线 下 降 。 

这 种 情况 下 ,使 用 RED ( Random Early Detection， 随 机 早期 检测 ) 技术 可 以 避免 尾部 丢弃 所 
带 来 的 一 系列 问题 。 

RED 会 始终 检测 队列 中 数据 量 的 平均 值 (平均 队列 长 度 )， 当 该 值 超过 设置 的 最 小 闪 值 时 ， 
将 尽早 丢弃 选中 的 分 组 (图 3-37 )。 平 均 队列 长 度 越 大 ， 分 组 的 丢弃 率 越 高 ， 当 超过 最 大 净值 时 ， 
同样 将 执行 尾部 丢弃 。 

男 外 ，WRED ( Weighted Random Early Detection， 加 权 随 机 早期 检测 ) 能 够 根据 IP 分 组 中 IP 
Precedence 的 值 决定 优先 级 ， 并 根据 优先 级 的 不 同 动态 设置 RED 的 最 大 和 最 小 闵 值 。 这 一 机 币 
降低 了 用 户 需 要 保留 的 分 组 因 拥 塞 被 丢弃 的 概率 。 


RED 处 理 流程 
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分 组 输入 


-一 


计算 平均 队列 长 度 

















比 最 小 阔 值 低 比 最 大 阅 值 高 


于 最 大 阅 值 和 
最 小 阅 值 之 间 


计算 分 组 被 








丢弃 的 概率 

















向 队列 中 添加 分 组 丢弃 分 组 
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国 策略 控制 

在 服务 供应 商 对 通信 质量 有 一 定 的 保障 需求 等 情况 下 ， 流 人 路 由 器 的 通信 量 会 遵从 一 定 规则 
的 策略 ( policy ) 受到 限制 ， 对 一 受 限 过 程 即 称 为 策略 控制 (policing )。 策 略 控制 能 够 指定 路 由 需 
的 输入 与 输出 在 哪个 网 络 接口 上 进行 ， 还 能 够 决定 对 于 超过 网 络 接口 限制 值 的 分 组 是 丢弃 还 是 修 
改 卫 分 组 首部 的 TogS 数据 域 。 使 用 了 Cisco IOS 的 路 由 器 就 提供 了 称 为 CAR ( Committed Access 
Rate， 承 诺 访 问 速 率 ) 的 策略 控制 功能 。 

实现 并 执行 策略 控制 的 设备 或 功能 实体 也 称 为 策略 执行 者 ( policer )。 











国 通信 量 整 形 

当 需 要 从 数据 中 心 高 速 线路 网 络 向 分 支 机 构 中 的 低速 线路 网 络 传输 数据 时 ， 数 据 中 心路 由 融 
所 转发 的 通信 量 必须 重新 控制 在 分 支 机 构 路 由 天 能 够 承受 的 范围 内 ， 只 有 这 样 才能 保证 分 组 不 会 
因 拥 塞 而 被 丢弃 ， 这 一 控制 过 程 即 为 通信 量 整形 ( shaping )。 通 行 量 整形 和 策略 控制 一 样 ， 根 据 
一 定 的 规则 限制 通信 和 量 , 但 是 通信 和 量 整 形 并 不 丢弃 超出 限制 的 分 组 ， 而 是 将 其 放 入 队列 。 

实现 并 执行 通信 量 整形 的 设备 或 功能 实体 也 称 为 通信 量 整 形 顺 ( shaper )。 







































































目 信 令 控制 

RSVP (Resource Reservation Protocol， 资 源 预 留 协议 ) 协议 是 使 应 用 程序 (或 路 由 器 ) 在 网 
络 中 能 够 使 用 信 令 控制 (signaling ) 指定 QoS 级 别 的 一 种 实现 方式 。RSVP 协议 是 可 以 为 每 一 个 
数据 流 指定 独立 的 QoS 需求 的 13 信 令 协议 。 











03.06.09 虚拟 路 由 器 


一 般 而 言 ，1 台 路 由 器 内 部 只 能 生成 一 份 路 由 表 ， 但 带 有 虚拟 路 由 器 功能 的 路 由 器 则 可 以 在 
1 台 路 由 器 机 体内 模拟 出 多 台 虚 拟 路 由 器 运行 。 虚 拟 路 由 器 经 党 在 服务 供应 商 提供 VPN 等 业务 
时 使 用 。 例 如 ， 现 在 需要 在 位 于 东京 和 大 阪 的 两 家 公司 之 间 构 建 一 个 使 用 私有 地 址 的 VPN 网 络 。 
尽管 在 东京 的 A 公司 和 在 大 阪 的 B 公司 中 已 同时 存在 192.168.1.0/24 这 一 子 网 ， 可 以 通过 设置 两 
公司 的 路 由 器 进行 连接 。 但 是 如 果 东 京 和 大 阪 的 公司 都 只 有 1 台 路 由 器 来 汇聚 的 话 ， 设 备 是 无 法 
进行 正确 路 由 选择 的 。 当 服务 供应 商 想 要 将 这 种 情况 下 的 多 个 企业 正确 连接 时 ， 就 可 以 使 用 虚拟 
路 由 器 功能 将 A 公司 的 路 由 信息 和 了 B 公司 的 路 由 信息 进行 分 制 。 由 此 ， 不 仅 可 以 减少 实际 需要 
管理 的 物理 路 由 器 的 数量 ， 还 可 以 有 效 降低 引入 和 使 用 的 成 本 。 
具体 内 容 可 以 参考 05.08 节 的 内 容 。 









































图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 











03.07 管理 路 由 器 的 各 种 功能 | 181 





























03.07 ”用 于 管理 路 由 器 的 各 种 功能 





路 由 器 设 备 会 提供 各 种 便于 自身 管理 的 功能 。 











03.07.01 用户 界 面 








路 由 器 均 会 提供 便于 管理 人 员 管 理 路 由 器 的 UI ( User Interface， 用 户 界面 )。 管理 人 员 可 以 
通过 UI 设置 路 由 器 、 获 取 当 前 路 由 器 信息 以 及 查看 硬件 的 状态 和 通信 和 量 的 统计 信息 等 。 

路 由 器 的 UI 可 以 分 为 WebUI ( Web User Interface， 也 称 为 WUI) 和 CLI ( Command Line 
user Interface ) 两 类 。 

WebUI 通过 个 人 计算 机 的 Web 浏览 需 进 行 访问 ， 因 其 能 够 提供 可 视 化 的 设置 与 管理 ， 所 以 
也 可 以 称 为 GUI ( Graphical User Interface )。 路 由 器 软件 内 置 了 Web 服务 器 ， 管 理 人 员 通 过 个 人 
计算 机 的 HTTP 或 HTTPS 协议 就 可 以 访问 。 

CLI 也 称 为 CUI ( Character User Interface )， 管 理 人 员 通 过 使 用 终端 软件 访问 路 由 器 。 终 端 软 
件 可 以 是 Windows 系统 自 带 的 超级 终端 软件 ， 也 可 以 是 免费 软件 TeraTerm 等 等 。 通 过 CLI 访问 






























































需要 在 路 由 器 上 配备 控制 端口 (RJ-45 或 DB-9， 早 期 路 由 器 可 能 配备 的 是 DB-25 )。 控 制 端口 与 
个 人 计算 机 之 间 的 连接 可 以 分 为 两 类 ， 一 类 是 直接 采用 线 缆 将 路 由 器 与 管理 员 的 个 人 计算 机 相 
连 ， 另 一 类 是 通过 网 络 使 用 Telnet ( TCP 23 号 端口 ) 或 SSH ( TCP 22 号 端口 ) 协议 进行 虚拟 终端 
( VTY ) 连接 ( 表 3-31 ) 
路 由 器 用 户 界面 的 连接 方式 与 种 类 

连接 的 种 类 























CLI 

CLI (VTY) 
CLI (VTY) 
WebUl 
WebUl 


















































KE 受到 RJ-45 端口 


87654321 
RJ-45 模 块 化 接 RJ-45 8P8C 插 口 ( 接头 ) 
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ER RJ-45/DB-9 转换 线 缆 


( 用 于 将 路 由 器 上 的 RJ-45 控制 端口 连接 到 PC ) 











另外 ， 路 由 需 还 提供 了 能 够 对 访问 UI 的 个 人 计算 机 进行 限制 的 功能 。 该 功能 通过 设置 管理 
人 员 提 供 的 访问 控制 列表 ， 使 路 由 器 只 接受 指定 IP 地 址 作为 发 送 源 的 客户 端 进行 连接 。 连 接 成 功 
后 ， 还 需要 提供 管理 员 的 用 户 名 和 密码 才能 登录 。 这 些 认证 信息 既 可 以 保存 在 路 由 需 内 部 ， 也 可 
以 通过 RADIUS 和 LDAP 协议 从 外 部 数据 库 获得 。 另 外 ， 路 由 需 可 能 还 会 提供 能 够 指定 每 个 管理 
员 账 户 相关 权限 的 功能 ， 其 中 包括 root 权限 、 读 取 专 用 权限 、 只 能 设置 某 些 功 能 等 多 项 权限 。 


| 
日 


禁止 





议 使 


























E 够 访问 路 由 融 的 UI 意味 着 可 以 确认 或 更 改 路 由 融 的 相关 设置 ， 因此 从 安全 的 角度 来 讲 ， 
E 管 理 人 员 的 访问 这 一 点 尤其 重要 。 





另外 ， 如 果 需 要 通过 互联 网 等 其 他 异种 网 络 访问 路 由 器 时 ， 为 了 防止 设置 信息 等 被 窃听 ， 建 





日 WebUI 中 的 HTTPS 或 CLI 中 的 SSH 等 支持 加 密 的 协议 进行 访问 。 


国 初始 设置 
带 有 控制 端口 的 路 由 需 ， 一 般 都 是 通过 控制 端口 来 完成 初始 设置 的 。 对 于 宽 华 路 由 天 这 类 小 
型 路 由 需 而 言 ， 在 出 三 时 已 经 对 其 网 络 接口 完成 了 特定 地 址 的 分 配 工 作 。 当 用 户 接 入 网 络 后 ， 只 


需 连 接 事先 设 定 的 地 址 ， 即 可 完成 对 UI 的 访问 。 

















管理 员 用 户 名 和 密码 等 也 在 出 厂 时 做 了 默认 设置 ， 在 初始 设置 时 只 需 通过 该 默认 信息 即 可 完 
成 登录 。 


O807020 El 


如 果 在 路 由 大 上 更 改 设置 或 发 生 异 常 ， 路 由 顺 内 部 的 日 志 就 会 将 这 些 事件 记录 下 来 。 日 志 一 








次 记录 一 行 并 根据 事件 的 重要 程度 分 类 ， 而 且 也 可 以 只 记录 下 最 重要 的 事件 。 
一 般 的 路 由 器 中 并 没有 太 多 保存 日 志 的 空间 ， 通 常 都 是 将 日 志 传 送 到 Syslog 服务 器 上 保存 。 
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03.07.03 ”确认 CPU 使 用 率 








通过 WebUI、CLI 命令 行 或 SNMP 等 能 够 获取 CPU 的 使 用 信息 。 其 中 CPU 的 使 用 率 一 般 
表示 为 0~100%。 

有 些 路 由 器 的 硬件 设备 可 以 通过 设置 使 CPU 使 用 率 在 超过 阔 值 时 通过 SNMP trap 发 送 消 息 
或 输出 事件 日 志 。 











国 CPU 使 用 率 上 升 的 主要 原因 
下 面 列 出 了 几 个 路 由 器 CPU 使 用 率 上 升 的 主要 原因 。 











e 用 户 通信 量 处 理 增多 。 

e 出 现 突 发 通信 量 。 

e 用 量 (sizing， 即 关于 路 由 器 能 够 处 理 的 带宽 和 用 户 数量 等 规模 的 预 估 设计 ) 不 合适 ， 网 络 
设备 处 理应 接 不 暇 。 

















当 CPU 的 使 用 率 很 高 时 ， 会 引起 以 下 问题 。 


e 性 能 下 降 ， 使 通过 该 设备 的 用 户 数据 响应 迟缓。 
e 设备 上 运行 的 业务 无 法 正常 响应 ， 进 而 会 导致 以 下 问题 。 
* Telnet/SSH 响应 迟缓 ， 或 设备 无 法 进行 Telnet/SSH 连接 。 
* 控制 端口 响应 迟钝 。 
* 设 备 上 的 网 络 接口 对 ping 命令 的 应 答 迟 缓 甚至 无 应 答 
* 无 法 进行 更 新 路 由 等 管理 类 的 通信 交互 。 
e 缓存 发 生 故 障 的 概率 高 

















03.07.04 ”告警 





路 由 器 为 了 预防 各 类 故障 ， 还 配备 了 以 下 告警 ( alarm ) 功能 。 


国 温度 告警 

配备 了 温度 传感器 的 路 由 器 ， 当 路 由 器 内 部 温度 超过 阔 值 时 ， 会 通过 Syslog 或 SNMP 
Trap 对 外 告知 该 异常 信息 。 阔 值 分 为 两 个 层级 ， 当 温度 超过 第 一 层级 阔 值 时 ， 设 备 会 发 出 警告 
( warning ) 消息 ， 当 超过 第 二 层级 阔 值 时 ， 则 会 发 出 紧急 (critical ) 消息 。 路 由 器 内 部 的 热量 一 般 
源 自 CPU， 当 风 扁 发生 故障 无 法 散热 ， 或 外 部 (机 架 内 ) 温度 陡然 升 高 时 ， 就 有 可 能 超过 预先 设 
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置 的 温度 阔 值 。 


国 风扇 告警 
搭载 风扇 的 路 由 需 大 多 会 计算 风扇 的 转速 ， 当 出 现 正 常 范 围 以 外 的 转速 时 ， 将 会 通过 Syslog 
或 SNMP Trap 对 外 告知 异常 。 








国 电源 告警 
配备 元 余 电 源 结 构 单 元 的 路 由 器 ， 当 单独 电源 发 生 供电 故障 时 ， 会 通过 Syslog 或 SNMP 
Trap 对 外 告知 异常 。 








03.07.05 ”设置 时 间 


如 果 设备 没有 设置 正确 的 时 间 ， 那 么 就 会 发 生日 志 记录 的 时 刻 与 实际 相左 的 情况 。 在 可 以 设 
置 时 区 的 设备 中 ， 本 地 时 间 选 择 本 国 时 间 即 可 。 而 那些 在 世界 各 地 均 有 办 公 场 所 的 跨国 企业 ， 为 
了 对 日 志 进 行 统一 监控 ， 则 需要 将 所 有 路 由 器 的 时 间 均 设置 成 格林 尼 治 标准 时 间 ( GMT )。 

路 由 器 的 时 钟 信息 虽然 可 以 通过 手动 设置 ， 但 在 现 网 中 ， 路 由 器 之 间 往 往 会 有 日 志 通 信 等 依 
赖 时 间 的 通信 交互 ， 因 此 要 求 某 台 路 由 器 中 的 时 间 必 须 与 其 他 路 由 器 保持 绝对 一 致 (同步 )， 这 
时 路 由 器 就 需要 使 用 NTP 来 完成 时 钟 同 步 。 


日 本 主要 的 NTP 服务 器 " 


















































服务 供应 方 主要 主机 名 层级 ( Stratum ) 
Internet Multi-Field ntp.jst.mfeed.ad.jp 2 
NICT (日 本 信息 通信 研究 机 构 ) ntp.nict.jp 1 
Ring Server Project ntp.ring.gr.jp 2~4 
e-timing ( AMANO Business Solutions ) ats1.e-timing.ne.jp 1 




















在 NTP 服务 器 的 层级 构造 中 ， 获 得 正确 的 时 间 信 息 源 并 与 之 同步 运行 的 最 上 层 称 为 Stratum 1。 
Stratum 2 的 NTP 服务 器 通过 NTP 协议 从 Stratum 1 的 NTP 服务 器 获得 时 间 信 息 。 以 此 类 推 ， 
Stratum 3 的 服务 器 从 Stratum 2 处 获得 时 间 信 息 。Stratum 层级 最 高 可 达 15 层 。 























03.07.06 故障 排查 


当 路 由 融 未 按 设想 情况 运行 时 ， 为 了 找 出 原因 就 需要 进行 故障 排查 (trouble shooting )。 





QD 中 国 国内 可 以 使 用 由 部 分 高 校 提供 的 NTP 服务 器 。 





译 者 注 
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由 设置 失误 而 引起 错误 提示 或 者 进行 了 正确 设置 但 WebUI 上 却 没 有 出 现 提 示 正 确 的 信息 等 
都 是 显而易见 的 错误 ， 也 能 够 立刻 定位 故障 的 原因 。 但 如 果 是 正确 设置 却 仍然 出 现 bug 或 者 在 
连接 其 他 厂商 的 设备 时 出 现 问题 等 情况 ， 故 障 原因 则 无 法 简单 地 定位 。 为 了 应 对 这 些 情况 ， 大 多 
数 路 由 需 都 配备 了 调试 工具 。 路 由 需 的 调试 功能 在 一 般 情 况 下 不 会 生效 ， 但 当 针对 某 项 单独 功能 
时 即 可 生效 。 当 该 功能 执行 时 ， 调 试 功能 会 追踪 处 理 流 程 、 给 出 该 功能 运行 成 功 或 失败 的 提示 信 
息 ， 如 果 运 行 失 败 还 会 记录 失败 的 详细 原因 ， 因 此 能 够 有 效 地 帮助 用 户 判断 设置 是 否 有 误 等 。 























国 诊断 工具 ( Diagnostic/Debug 命令 ) 
大 多 数 路 由 器 会 配备 诊断 与 调试 命令 。 故 障 发 生 时 ， 用 户 可 以 通过 这 些 命令 获取 路 由 器 内 部 
程序 运行 的 步 又， 以 及 到 底 是 哪个 处 理 引 发 了 错误 等 信息 。 


























国 分 组 捕获 

为 了 确定 某 些 特定 的 分 组 在 通过 路 由 需 时 是 否 会 因为 路 由 器 的 设置 、 访 问 列 表 、bug 等 原因 
被 丢弃 ， 部 分 路 由 器 产品 还 提供 了 分 组 捕获 ( Packet Capture ) 功能 ， 该 功能 也 称 为 PCAP。 捕 获 
文件 在 Windows PC 上 也 可 以 通过 Wireshark ( 以 前 称 为 Ethereal ) 的 应 用 软件 来 查阅 。 











国 吐 核 

当 路 由 需 的 软件 程序 因 不 正当 的 内 存 访 问 、 缓 存 洪 出 、 零 指针 错误 等 原因 导致 异常 中 止 时 ， 
会 生成 名 为 core dump 的 文件 ， 文 件 中 会 记录 异常 中 止 时 寄存 需 以 及 内 存 的 有 关内 容 。 根 据 这 些 
内 容 能 够 定位 程序 的 bug 并 及 时 修正 。 由 于 异常 而 终止 的 进程 生成 core dump 文件 的 过 程 也 被 称 
为 “ 吐 核 ”。 获 取 core dump 文件 的 方法 根据 实现 方式 的 不 同 而 有 所 差异 ， 但 文件 生成 后 必须 交 
给 厂商 ， 让 厂商 进行 进一步 的 解析 。 








03.07.07 文件 传输 控制 


当 用 户 需 要 将 路 由 器 上 运行 的 操作 系统 文件 、 设 置 文件 、 日 志文 件 等 传输 到 个 人 计算 机 
时 , 或 从 个 人 计算 机 传输 到 路 由 器 时 ， 可 以 使 用 TFTP、FTP、SCP、SFTP 等 文件 传输 协议 。 以 
WebUI 为 主 的 路 由 器 还 可 以 使 用 HITP 和 HTTPS 协议 。 





03.07.08 其 他 工具 包 








有 些 路 由 天 还 可 以 使 用 表 3-33 中 列 出 的 UNIX 通用 的 工具 包 软 件 。 
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可 以 在 路 由 器 中 使 用 的 主要 工具 软件 包 




























































































































































































































































































































































































名 称 说 明 

ping ICMP 中 的 echo request 确认 目的 地 主机 是 否 联通 

Traceroute ICMP 协议 收集 发 送 源 到 目的 地 的 路 由 信息 

telnet TCP 端口 号 为 23， 从 路 由 器 的 CLI 界面 访问 网 络 中 其 他 路 由 器 的 控制 台 或 CLI 界面 

ssh TCP 端口 号 为 22， 从 路 由 器 的 CLI 界面 连接 并 访问 网 络 中 其 他 路 由 器 的 控制 台 或 
CLI 界面 ， 整 个 链 路 保持 加 密 状 态 

rlogin CP 端口 号 为 513， 从 路 由 器 的 CLI 界面 通过 网 络 登 陆 到 远程 服务 器 上 

ftp RFC959 定义 ， 与 外 部 tftp 服务 器 之 间 通 过 FTP 完成 文件 或 路 由 器 设置 信息 的 导 
入 或 导出 

tftp RFC1350 定义 的 简易 FTP， 与 外 部 tftp 服务 器 之 间 完 成 文件 或 路 由 器 设置 信息 的 





























导入 或 导出 






































03.08 ”路 由 器 的 架构 








以 个 人 计算 机 为 代表 ,计算 机 一 般 由 控制 装置 (CPU )、 主 存储 如 (内存 ) 和 辅助 存储 需 


( HDD )、 运 算 装 置 (CPU )、 输 入 设备 (键盘 或 鼠标 )、 输 出 设备 ( 显 





理 路 由 天 的 构造 与 个 人 计算 机 的 构造 类 似 ( 表 3-34 )。 


示 右 ) 五 大 部 分 组 成 。 而 物 



































比较 个 人 计算 机 与 路 由 器 的 构成 要 素 
个 人 计算 机 路 由 器 

控制 、 运 算 CPU CPU、 芯片 注 ， 

存储 内 存 、HDD、SD 卡 等 内 存 、HDD 字 " 

输入 键盘 通过 控制 台 或 以 太 网 访问 CLI 以 及 
输出 显示 器 WebUl 
注 1: 只 有 一 部 分 产品 配 有 该 要 素 。 

03.08.01 路 由 器 的 构成 要 素 








接 下 来 让 我 们 进一步 了 解 一 下 表 3-34 列 出 的 路 由 顺 的 构成 要 素 。 


国 CPU 


通常 使 用 藤 入 式 设备 和 通信 设备 专 月 








的 处 理 帮 或 者 通用 人 处理 带 














。 例 如 ，Juniper 公司 的 高 
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端 路 由 器 使 用 Intel 公司 的 奔腾 系列 ， 思 科 公 司 的 高 端 路 由 器 使 用 MIPS 的 R5000/RM7000 系列 
等 。 除 了 这 些 以 外 ,还 有 Intel 和 AMD 公司 提供 的 磐 人 式 设 备 或 通信 设备 专用 的 处 理 顺 以 及 服 
务 器 专用 的 处 理 器 ， 还 有 IBM 和 摩托 罗拉 公司 共同 开发 的 PowerPC、Cavium Networks 公司 和 
Broadcom 公司 的 通信 设备 专用 处 理 器 可 供 选 择 。 

与 个 人 计算 机 的 CPU 不 同 ， 路 由 带 必 须 选择 厂商 能 够 长 期 稳定 供 货 的 CPU 产品 ， 这 一 点 也 
适用 路 由 顺产 品 的 其 他 部 件 。 

一 般 一 台 路 由 器 只 配备 1 块 CPU。 但 是 部 分 高 端 路 由 带 的 线 卡 或 独立 路 由 模块 中 同样 会 搭 
载 额 外 的 CPU， 因 此 一 台 路 由 器 机 框 中 可 能 会 同时 使 用 多 块 CPU。 

一 般 来 说 ，CPU 运行 频率 越 快 处 理 能 力 越 强 ， 但 由 于 路 由 需 对 CPU 性 能 的 需求 要 低 于 个 人 
计算 机 和 服务 器 ， 因 此 路 由 器 上 搭载 的 CPU 运行 频率 也 会 低 于 当前 主流 的 个 人 计算 机 CPU 的 
频率 。 例 如 ， 低 端 路 由 需 的 CPU 运行 频率 为 S0~180MHz， 思 科 公 司 的 中 端 路 由 融 CPU 频率 在 
100~350MHz 之 间 ， 而 高 端 路 由 器 CRS-1 使 用 的 PowerPC 路 由 处 理 带 主 频 为 1.2GHz。 

虽然 在 CPU 上 执行 的 代码 是 作为 软件 功能 运行 于 路 由 器 的 操作 系统 中 ,但 也 有 部 分 路 由 融 
使 代码 与 硬件 芯片 (后 文 会 提 到 ) 协同 工作 ， 通 过 硬件 完成 特定 的 高 速 处 理 。 



































国 存储 器 

存储 器 大 致 分 为 只 读 存储 右 ROM ( Read Only Memory ) 和 随机 存储 器 RAM ( Random Access 
Memory ) 两 大 类 。ROM 在 电源 切断 后 存储 的 内 容 不 会 消失 ,但 只 能 读 取 内 容 ， 无 法 写 入 新 的 
数据 。 而 RAM 虽然 能 够 写 和 人 新 的 数据 ， 但 电源 切断 后 ， 数 据 将 全 部 丢失 。 集 合 了 二 者 特点 的 是 
NVRAM 和 闪存 。 目 前 几乎 所 有 的 路 由 器 都 没有 携带 硬盘 ， 而 是 将 操作 系统 和 设置 信息 保存 在 
NVRAM 和 闪存 中 。 


路 由 器 使 用 的 内 存 种 类 



















































































































































































内 存 种 类 特征 在 路 由 器 内 部 的 用 途 
ROM 于 存储 出 厂 时 安装 的 程序 。 电 源 关闭 后 ， 内 容 | MinilOS、POST、Bootstrap 
Read Only Memory ) 不 会 消失 
RAM 通过 电气 方式 读 写 数 据 。 电 源 关闭 后 内 容 消失 启动 中 的 操作 系统 、 程 序 、 路 由 表 、 
Random Access Memory ) 缓存 、Running-config 
VRAM 即使 切断 电源 ， 存 储 的 数据 也 不 会 丢失 的 RAM。| Startup-config、Config-register 
( Non Volatile RAM ) 在 集成 电路 内 部 内 置 了 SRAM 和 小 型 电池 
闪存 EEPROM 的 一 种 ， 通 过 施加 电压 高 速 存 取 数据 ,| IOS ( 操作 系统 ) 镜 像 于 
属于 能 够 多 次 控 去 原来 内 容 并 重 写 的 ROM。 即 
俩 切断 电源 存储 的 内 容 也 不 会 消失 

















注 1: 镜像 是 以 文件 形式 保存 软件 的 一 种 方式 。 
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国 操作 系统 、 固 件 

个 人 计算 机 以 及 服务 器 通过 运行 Windows、MacOS、Linux 等 操作 系统 ， 提 供 了 使 用 应 用 程 
序 软件 的 各 种 基本 功能 ， 比 如 控制 键盘 输入 或 显示 和 输出、 进行 磁盘 以 及 内 存 管理 等 。 硬 件 路 由 器 
设备 上 也 搭载 了 专用 的 操作 系统 。 

路 由 器 使 用 的 操作 系统 可 以 是 同属 UNIX 系列 的 FreeBSD， 也 可 以 是 个 厂商 基于 其 他 实时 操 
作 系 统 二 次 开发 的 操作 系统 。 与 个 人 计算 机 上 运行 的 操作 系统 提供 了 各 类 应 用 软件 不 同 ， 该 专用 
操作 系统 中 仪 包含 路 由 器 必 备 的 相关 软件 。 该 操作 系统 也 是 以 镜像 或 镜像 文件 作为 载体 存在 的 ， 
大 小 从 几 MB 到 几 百 MB 不 等 。 后 文 会 详细 介绍 路 由 器 加 载 并 读 取 操 作 系 统 镜像 的 步 又 。 

类 似 思 科 公 司 的 IOS 和 IOS XR、Juniper 公司 的 JUNOS 这 样 带 有 名 称 ( OS ) 的 操作 系统 ， 
有 时 可 以 简单 称 为 “XX( 产品 名 ) 专用 固件 ( firmware 》”。 

路 由 器 的 操作 系统 分 为 IOS 这 种 所 有 进程 共享 单一 内 存 空间 的 单 体式 ( monolithic ) 操作 系 
统 ， 和 JUNOS、IOS XR 这 种 每 个 进程 均 有 专用 内 存 空间 的 模块 式 ( modular ) 操作 系统 。 高 端 路 
由 器 一 般 采 用 模块 性 操作 系统 架构 ， 这 样 即使 某 个 进程 异常 退出 ， 也 不 会 影响 其 他 进程 ， 使 操作 
系统 拥有 更 高 的 可 靠 性 和 可 用 性 。 















































国 操作 系统 的 版 本 

路 由 器 的 操作 系统 一 般 会 定期 发 布 新 版 本 。 虽 然 各 厂商 的 发 布 时 间 不 同 ， 但 搭载 新 功能 的 主 
版 本 (或 副 版 本 ) 一 般 半年 或 者 一 年 发 布 一 次 。 若 在 主 版 本 或 副 版 本 中 发 现 了 bug， 则 会 每 月 发 
布 一 个 对 应 的 修正 版 本 (bug batch 版 )。 
新 版 本 中 的 必 选 功能 和 修正 的 bug 数 越 多 ， 版 本 的 质量 也 就 越 高 。 但 有 时 伴随 着 新 功能 的 增 
加 和 bug 的 修正 也 会 引入 新 的 bug 导致 退化 (degrade )， 因 此 在 升级 版 本 前 ， 最 好 测试 一 下 必 选 
功能 是 否 能 够 正常 运行 。 
e1OS 版 本 范例 

小 数 点 前 后 的 两 位 数字 表示 主 发 布 (major release ) 编号 ( 即 主 版 本 )， 该 数值 越 大 表示 该 版 
本 支持 的 功能 就 越 丰 富 。 在 每 个 主 发 布 编号 后 面 的 括号 中 记录 了 维护 发 布 编号 ， 该 数值 越 大 表示 
改正 的 bug 数量 越 多 ， 因 此 最 好 选择 数值 较 大 的 版 本 。 最 后 的 重建 识别 符 使 用 字母 或 数字 表示 ， 
表示 对 某 些 不 健壮 以 及 重大 问题 的 修正 次 数 。 
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EE os 的 版 本 形式 12.2(13e) 


主 发 布 编号 维护 发 布 编号 重建 识别 符 


12.3(2)T5 


主 发 布 编号 本 测 sl, 重建 识别 符 


编号 标识 符 




















e JUNOS 版 本 范例 

JUNOS 版 本 号 最 开始 的 数字 称 为 主 发 布 编号 ， 小 数 点 之 后 的 数字 称 为 副 发 布 编号 (minor 
release )， 这 两 个 数字 合 在 一 起 表示 主 版 本 号 。 紧 随 其 后 的 字母 表示 发 布 类 型 ，R 为 标准 版 ，B 为 
beta 版 ，S 为 服务 版 。 再 后 面 的 构建 编号 与 最 后 的 附带 编号 共同 表示 维护 发 布 编号 ， 也 称 为 修订 
( revision ) 版 本 号 (图 3-41 )。 


JUNOS 的 版 本 形式 






































11.2R3.3 








| | | 条 建 信 号 附带 号 
主 发 布 编号 标准 版 
副 发 布 编号 
主 版 本 号 修订 版 本 号 





国 网 络 接口 

路 由 需 存 在 多 个 用 于 物理 线 缆 连 接 的 接口 〈 称 为 物理 接口 或 物理 端口 )。 关 于 物理 接口 的 详 
细 信 息 可 以 参考 本 书 第 1 章 。 

对 应 了 不 同 数据 链 路 层 协 议 的 网 络 接口 种 类 如 表 3-36 所 示 。 
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路 由 器 的 数据 链 路 手段 







































































































































































































































































数据 链 路 手段 说 明 主要 速度 接口 形状 
POS 传输 SONET/SDH 数据 帧 。 可 | OC-192c/STM-64c POS 光纤 ( SC、LC、FC、MTRJ 等 ) 
( Packet over SONET/ 于 高 速 WAN 中 。1 SFP | OC-48c/STM-16c POS 
SDH ) 等 光 接 OC-12c/STM-4c POS 
OC-3c/STM-1c POS 
DPT IEEE 802.17 定义 的 环形 拓 | OC-192c/STM-64c DPT 光纤 ( SC、LC、FC、MTRJ 等 ) 
( Dynamic Packet 扑 光 网 络 。 一 般 使 用 SFP 等 光 | OC-48c/STM-16c DPT 
Transport/Resilient 将 OC-12c/STM-4c DPT 
Packet Ring ) 
ATM ATM 论坛 制定 规格 ， 进 行 | OC-12c/STM-4c ATM 光纤 ( SC、LC、FC、MTRJ 等 ) 
( Asynchronous ATM 信 元 ( cell) 数 据 帧 的 传输 | OC-3c/STM-1c ATM 
Transfer Mode ) 
Channelized 支持 T1、E1、T3、E3 等 OC-48c/STM-16c POS 光纤 ( SC、LC、FC、MTRJ 等 ) 
接口 。ISDN PRI OC-12c/STM-4c POS RJ-48 
OC-3c/STM-1c POS 
ISDN PRI 
Ethernet IEEE 802.3 定义 ， 传 输 以 太 | Ethernet ( 10BASE-T ) LAN 线 缆 
网 数据 帧 Fast Ethernet ( 10/100 | (RJ-45) 
BASE-TX ) 光纤 
Gigabit Ethernet (GBIC、 SFP、 XENPAK、XFP、 
10-Gigabit Ethernet SFP+ ) 
ISDN BRI ITU-T1.430 的 ISDN BRI ( 基 | ISDN BRI ( 64kbit/s ) LAN 线 缆 ( RJ-45 ) 
本 接口 ) 
国 硬件 模块 











在 高 端 路 由 锅 中 ， 路 由 顺 的 一 部 分 功能 并 不 是 使 用 软件 进行 CPU 处 理 ， 而 是 使 用 硬件 芯片 
进行 高 速 处 理 来 实现 。 











e ASIC 

ASIC 是 专用 集成 电路 ( Application Specific Integrated Circuit ) 的 简称 ， 属 于 LSI ( 大 规模 集 
成 电路 ) 的 一 种 ， 是 专门 为 特定 厂商 的 产品 或 某 项 用 途 而 开发 的 芯片 。 路 由 器 厂商 也 可 能 会 参与 
自 定义 ASIC 芯片 的 设计 工作 。 用 于 网 络 的 ASIC 芯片 提供 了 以 太 网 MAC 层 处 理 和 IP 分 组 转发 
处 理 等 功能 。 














。 FPGA 

FPGA 是 现场 可 编程 门 阵列 ( Field-Programmable Gate Array ) 的 简称 ， 是 与 ASIC 类 似 的 集 
成 电路 。 搭 载 了 集成 电路 的 路 由 需 在 成 品 后 ， 路 由 需 厂 商 依然 可 以 对 其 进行 编程 操作 。FPGA 进 
行 的 处 理 一 般 通 过 硬件 描述 语言 (HDL，Hardware Description Language ) 来 定义 。FPGA 不 仅 能 
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够 实现 和 ASIC 同样 的 功能 ， 还 能 在 成 品 后 继续 更 新 功能 、 进 行 再 编程 等 操作 ， 因 此 可 以 轻易 添 
加 新 功能 并 修复 有 问题 的 部 分 。Xilinx 公司 和 Altera 公司 都 是 知名 的 FPGA 厂商 。 

















e 安全 加 速 器 
安全 加 速 器 ( security accelerator ) 也 称 为 VPN 加 速 器 ， 是 为 了 高 速 处 理 SSL、IPSec 等 加 密 处 
理 通信 而 搭载 了 加 密 、 解 密 等 专用 芯片 的 模块 。 该 模块 有 时 也 单独 作为 可 选 模块 卡 供用 户 使 用 。 


国电 源 
同 交 换 机 类 似 ， 路 由 器 设备 一 般 也 会 配备 电源 模块 ， 详 细 内 容 可 以 参照 01.04 节 的 内 容 。 





03.08.02 ”启动 路 由 器 的 流程 











路 由 需 从 通电 后 到 开始 使 用 之 前 ， 会 按照 以 下 步骤 启动 。 虽 然 这 些 步骤 是 以 思科 路 由 需 为 例 

进行 说 明 的 ,但 执行 POST、 执 行 bootstrap 、 载 和 操作 系统 与 设置 这 个 步骤 对 所 有 路 由 器 都 适用 。 

1. 通电 后 会 执行 保存 在 ROM 中 的 POST ( Power On Self Test， 上 电 自 检 ) 程序 。 该 步骤 主要 
识别 物理 接口 等 设备 上 的 部 件 ， 完 成 对 硬件 的 检测 (图 3-43 的 QD )。 

2. 当 POST 执行 完毕 后 ， 执 行 在 ROM 中 保存 的 bootstrap 程序 。 参 考 配 置 寄存 带 
( configuration register ) 的 值 检索 启动 的 IOS， 默 认 加 载 位 于 闪存 中 的 操作 系统 镜像 ( 
3-42 的 四 ~ 由) 

3. 检索 内 存 内 的 IOS 镜像 ， 并 将 其 加 载 到 RAM 中 。( 图 3-42 的 人 @) ) 

4.IOS 启动 后 在 NVRAM 中 检索 startup-config 信息 ， 如 果 存 在 该 文件 则 将 以 running-config 
的 形式 在 RAM 中 展开 。 当 设备 刚 出 三 ,在 NVRAM 中 不 存在 startup-config 时 ， 则 通过 
setup mode 方式 启动 。( 图 3-42 的 (O) ) 


路 由 器 的 启动 流程 














闪存 站 执行 POST， 检 测 硬件 
10S 镜 像 @) 启 动 bootstrap ( 将 该 程序 从 
ROM 展 开 到 RAM 中 ) POST | 


(9 读 取 IOS 并 启动 bootstrap 


(3) 根据 配置 寄存 器 的 值 决定 启 
RAM 动 模式 
@ 根据 startup-config 的 boot NVRAM 


system 一 行 的 信息 启动 IOS 配置 寄存 器 
startup—config 



































(6) 从 NVRAM 中 完整 读 入 startup-config 信 
息 ( 在 RAM 中 称 为 running-config ) 
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03.08.03 ”路 由 器 的 一 般 架 构 


国 共享 总 线 型 ( 中 央 处 理 器 ) 

桌面 式 路 由 器 和 低 端 路 由 器 一 般 采 用 共享 总 线 型 架构 。 该 架构 比较 古老 ， 实 现 方式 简单 ， 但 
由 于 规模 越 大 就 越 要 配备 与 之 对 应 的 高 速 内 存 管 理 系 统 ， 因 此 不 适用 于 大 型 路 由 器。 

共享 总 线 和 共享 内 存 的 架构 方式 ， 其 性 能 与 总 线 的 交换 容量 (带宽 ) 有 着 密切 的 关系 (图 
3-43 )。 另 外 ， 这 种 架构 既 可 以 所 有 的 网 络 接口 共享 1 根 总 线 ， 也 可 以 几 个 网 络 接口 共享 一 根 总 
线 。 例如， 有 台 设 备 带 有 1 号 至 8 号 共 8 个 10/100/1000BASE-T 网 络 接口 ， 从 1 号 接口 到 4 号 接 
口 有 1 根 容量 为 500Mbit/s 的 共享 总 线 ， 同 样 $ 号 接口 至 8 号 接口 也 有 1 根 500Mbit/s 的 共享 总 
线 ， 这 时 1 号 接口 可 以 单独 使 用 所 有 500Mbit/s 的 带宽 进行 通信 ,或 者 1 号 与 5 号 接口 并 用 ， 共 
享 整个 设备 的 总 线 带 宽 ， 使 路 由 器 的 对 外 吞 叶 量 达到 1Gbit/s。 

尽管 便 件 对 外 的 最 快 通信 速度 也 依赖 于 CPU 每 秒 能 够 处 理 的 分 组 数量 ( packet per second )， 
但 即使 未 达到 CPU 处 理 上 限 ， 共 享 总 线 型 设备 的 交换 容量 也 只 能 达到 规定 的 重 吐 量 上 限 。 





















































共享 总 线 型 路 由 器 的 结构 






































CPU 共享 内 存 后 









































CPU 内 存 
( 路 由 表 ) 





























国 低 端 路 由 器 
图 3-44 展示 了 思科 公司 低 端 路 由 器 Cisco 1600 系列 的 结构 图 ， 该 系列 路 由 器 属于 共享 总 线 


型 架构 。 
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低 端 路 由 器 ( Cisco 1600 ) 的 架构 





















































































































































Cisco 1600 路 
VAN 接口 卡 上 “一 一 启动 ROM 
NVRAM 
Motorola 
控制 端 M68360 处 理 器 7 PCMCIA 
(CPU ) 
DRAM SIMM 
全 2 板 载 DRAM 
电源 适配器 以 太 网 接 












































NVRAM: Non-Volatile Random-Access Memory 
PCMCIA: Flash 存 储 卡 

DRAM: Dynamic Random Access Memory 
SIMM: Single In-Line Memory Module 





大 多 数 小 型 路 由 器 均 采 用 外 部 AC 电源 供电 运行 。 

机 框 上 配备 了 以 太 网 接口 、 串 口 、ISDN 的 BRI 端口 。WAN 系列 的 接口 卡 可 以 安装 在 WIC 
( WAN Interface Card，WAN 接口 卡 ) 槽 上 ， 该 接口 卡 上 配备 了 串口 、T1 、ISDN 端口 和 以 太 网 接 
口 ， 各 个 接口 通过 IO 总 线 ( Input/Output 总 线 ) 连接 CPU。 

CPU (处理 器 ) 读 取 操 作 系统 内 定义 的 指令 并 执行 。CPU 的 性 能 会 根据 总 线 速度 的 变化 而 变 
化 。CPU 和 内 存 之 间 通 过 CPU 总 线 连接 。 


Cisco 1600 系列 的 内 存 



































Cisco 1600 系 列 的 内 存 


DRAM SIMM ( 主 进程 内 存 ) OM 
路 由 二 队 丈 ROMMON、RxBoot 


路 径 缓存 缓存 首部 
NVRAM 


DRAM 































































































板 载 DRAM ( 共享 输入 输出 内 startup-config 
i BGM 从 
代行 当 全 IOS 镜 像 



































3-45 记录 了 小 型 路 由 器 的 内 存 分 配 结构 。DRAM 内 存在 逻辑 上 分 为 包含 路 由 表 的 主 进程 
内 存 ， 和 包含 分 组 、 接 口 缓存 的 VO 内 存 两 个 区 域 。 
在 PCMICA 闪存 卡 上 存放 了 操作 系统 ( Cisco IOS ) 的 软件 镜像 。 
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国 中 端 路 由 器 
图 3-46 展示 了 中 端 路 由 器 架构 的 代表 一 一 Cisco 3600 系列 的 结构 图 。 该 系列 同样 使 用 共享 总 
线 型 架构 ， 除 了 固定 的 端口 以 外 还 可 以 连接 接口 模块 。 


中 端 路 由 器 ( Cisco ”3600 ) 的 架构 





Cisco 3600 路 由 器 




























































































接口 模块 PCMCIA 启动 ROM 

接口 模块 NVRAM 
GT64010 i 

接口 模块 未 统 控制 六 一 一 一 一 i 





























I 
CPU 总 线 寄存 器 FPGA - Dual UART 

















I 
IDPROM 
































I 
Orion RISC 
处 理 器 








电源 模块 


通用 异步 收发 传输 器 : Universal Asynchronous ReceiverTransmitter 。 控制 端口 AUX 端 
识别 可 编程 只 读 存储 器 : Identification Programmable Read Only Memory 







































































国 中 高 端 路 由 器 
图 3-47 展示 了 中 高 端 路 由 器 的 架构 图 。 这 种 级 别 的 路 由 器 拥有 电源 模块 元 余 、 独 立 路 由 引 
擎 、 能 够 替换 的 风扇 托盘 、 多 个 接口 模块 或 线 卡 搬 覃 以 及 在 接口 卡 模 块 之 间 进 行 通信 的 背 板 。 


Cisco 7200VXR 系列 的 架构 
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国 共享 总 线 型 ( 分 布 式 处 理 器 ， 分 布 式 架 构 ) 

分 布 式 处 理 器 是 指 通过 在 网 络 接口 的 线 卡 上 搭载 CPU， 使 线 卡 内 部 的 数据 传输 不 依靠 中 央 
处 理 吉 也 能 进行 的 架构 模型 (图 3-48 )。 早 期 的 机 框 式 高 端 路 由 需 或 模块 型 中 端 路 由 需 产 品 均 条 
用 该 架构 。 在 该 架构 中 同样 使 用 共享 总 线 连接 处 于 控制 部 分 的 CPU， 最 大 传输 速度 依赖 于 总 线 
的 容量 。 














分 布 式 处 理 器 的 结构 
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a 一 内 存 | | cPU 
线 卡 
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人 内 存 | | cpu 


















































加 纵横 通路 方式 

使 用 共享 总 线 型 架构 ， 分 组 的 传输 性 能 会 受到 总 线 带宽 的 限制 。 因 此 对 传输 速度 有 着 很 高 要 
求 的 高 端 路 由 器 通常 使 用 交换 结构 ( switch fabric ) 的 传输 线路 取代 共享 总 线 ， 来 提高 系统 整体 的 
传输 性 能 。 

在 箱 式 路 由 器 中 ， 端 口 (接口 ) 之 间 的 数据 传输 是 通过 交换 结构 实现 的 。 

在 机 框 式 路 由 器 中 ,搭载 了 传输 引擎 4 CPU ) 和 内 存 的 线 卡 之 间 的 数据 传输 ， 同 样 也 是 经 由 
交换 结构 来 实现 的 。 多 数 机 框 式 路 由 器 或 交换 机 都 使 用 纵横 交换 方式 中 的 交换 结构 完成 数据 传 
输 ， 因 此 这 样 的 架构 形式 也 称 为 纵横 通路 ( crossbar ) 方式 。( 图 3-49 ) 

交换 结构 直接 使 用 半导体 芯片 ， 通 过 芯片 完成 线路 电气 信和 号 的 处 理 。 
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纵横 通路 方式 的 结构 
































( crossbar switch ) 























CPU 存储 一 
( 路 由 表 ) 内 存 CPU 















































国 纵横 通路 交换 

纵横 通路 交换 ( crossbar switch ) 也 称 为 交叉 点 交换 或 矩阵 交换 。 在 由 M 个 输入 线路 、N 个 
输出 线路 组 成 的 纵横 通路 交换 中 ,会 有 M x N 个 交叉 点 (crosspoint )， 每 个 交叉 点 上 会 产生 一 个 
交换 (图 3-50 )。 当 交换 处 于 开启 状态 时 ，M 个 输入 将 和 N 个 输出 直接 连通 。 

通路 ( bar ) 是 数据 流动 的 载体 ， 也 可 称 为 网 状 通道 ( fabric channel )。 








纵横 通路 交换 的 示例 
接口 槽 1 J 接口 槽 5 ”接口 槽 7 接口 槽 9 
6 


旦 


9 10 1314 ”1718 
桥 ASIC 一 19 纵横 通路 20 广 交换 结构 ASIC 
3 4 7 8 1112 1516 


接口 槽 2 ”接口 槽 4 ”接口 槽 6 ”接口 槽 8 
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在 图 3-51 的 示例 中 ,该 架 型 路 由 器 拥有 9 个 接口 槛 ， 每 个 接口 醒 分 配 了 两 个 网 状 通 道 。 如 
果 每 个 通道 容量 为 40Gbit/s、 每 个 接口 槽 的 传输 容量 达到 80Gbit/s， 就 可 以 完成 4 端口 10G 以 大 
网 或 1 端口 40G 以 太 网 带宽 的 双向 无 阻塞 处 理 。 








国 线 端 阻 塞 与 虚拟 输出 队列 

线 端 阻塞 ( HOL，Head of line blocking ) 是 指 在 网 络 硬件 中 发 生 的 缓存 性 能 低下 的 现象 。 

由 输入 端口 、 交 换 结 构 、 输 出 端口 组 成 的 交换 机 中 ， 如 果 使 用 FIFO ( First-in First-out ) 输入 
缓存 ， 会 优先 传输 最 初 进 入 缓存 (队列 ) 的 分 组 ， 但 如 果 作 为 目的 地 的 输出 缓存 正在 使 用 中 ， 就 
不 会 转发 先进 入 缓存 的 分 组 ， 进 而 后 面 进入 缓存 的 分 组 也 无 法 传送 (图 3-52 )。 


线 端 阻塞 的 形成 结构 
输入 端 交换 结构 输出 端 

































































解决 线 问 阻塞 的 方法 之 一 就 是 使 用 虚拟 输出 队列 。 
2x2 的 纵横 通路 交换 示例 








如 图 3-53 所 示 ， 该 纵横 通路 交换 示例 中 的 输入 输出 端口 各 有 两 个 。 在 到 达 输 入 端口 a 和 
的 数据 中 ， 以 输出 端口 e 为 目的 地 的 数据 用 0 表示 ， 以 输出 端口 d 为 目的 的 数据 用 1 表示 。 

当 有 数据 同时 到 达 输 入 端口 a、b 时 ， 可 能 会 发 生 以 下 四 种 情况 : 端口 a 与 b 均 为 数据 0 
000 )， 端 口 a 为 数据 0 端口 b 为 数据 1 (01)， 端口 a 为 数据 1 端口 b 为 数据 0 (10), 端口 a 与 b 
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均 为 数据 1 (1 )。 

输入 端口 的 数据 为 00 时 ， 两 个 输入 数据 会 同时 传输 到 输出 端口 c 上 ,但 输出 端口 在 单位 时 
间 内 处 理 的 数据 量 有 限 ， 因 此 输出 端口 c 无 法 做 到 同时 对 外 转发 这 两 个 数据 。 这 时 2 x2 的 交换 
结构 效率 实际 只 有 0.5。 当 输入 为 11 时 ， 该 交换 结构 的 效率 也 同样 为 0.5。 而 在 输入 数据 为 01 或 
10 时 ， 由 于 两 个 输出 端口 能 够 同时 处 理 数 据 ， 因 此 交换 结构 的 效率 可 以 达到 1。 因 为 这 四 种 模式 
发 生 的 概率 相等 ， 均 为 0.25， 所 以 2x2 交换 结构 的 整体 效率 为 0.75= (0.25x0.5 + 0.25x0.5 + 
0.25 x1x2)。 由 此 可 见 n x n(n > 2 ) 纵横 通路 交换 的 整体 效率 会 呈现 递减 的 趋势 。 

在 图 3-54 中 ， 输 出 端口 c 和 d 上 各 自 配 备 了 两 个 缓存 作为 虚拟 输出 队列 ， 这 时 当 输 入 端口 
a 和 b 同时 传输 11 或 00 这 样 两 个 连续 的 数据 时 ， 输 出 端口 也 能 够 同时 处 理 。 以 此 类 推 , 在 nxn 
的 纵横 通路 交换 中 ， 如 果 每 个 输出 端口 都 预先 配备 了 数目 为 n 的 缓存 ， 就 可 以 达到 纵横 通路 交换 
中 最 大 的 整体 效率 。 


虚拟 输出 队列 













































































当 没有 虚拟 输出 队列 时 只 能 处 配置 了 虚拟 输出 队列 时 ， 输 出 端口 可 以 
理 1 个 数据 ， 从 而 导致 发 生 线 等 待 处 理 ， 整 个 交换 结构 带宽 的 使 用 效 
端 阻塞 率 也 能 达到 最 大 化 





03.08.04 ”路 由 器 的 内 部 宛 余 

















传统 的 网 络 元 余 化 是 使 用 两 台 以 上 的 硬件 ， 通 过 运行 路 由 选择 协议 或 生成 树 协议 等 方式 来 实 
TP es 使 得 网 络 发 生 故 障 的 几率 随 之 增加 ， 切 换 时 间 的 控制 也 
越 来 越 复杂 ， 还 会 发 生 在 切换 的 几 分 钟 或 几 秒 内 丢失 分 组 的 问题 。 主 要 应 用 于 服务 供应 商 的 高 端 
路 由 需 (〈 或 交换 机 ) 为 了 避免 这 类 问题 的 发 生 ,， 会 在 1 台 硬 件 设 备 上 实现 两 台 硬 件 设备 的 功能 
从 而 避免 了 因 软 硬件 故障 造成 的 系统 意外 当 机 。 
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通过 路 由 器 的 内 部 元 余 防 止 故障 








即使 发 生 故 障 ， 也 能 通过 优雅 启动 
( gracefully start ) 避免 链 路 断 


















连接 的 硬件 无 法 检测 
到 链 路 断 开 的 情况 











通过 NFS/SSO/NSR 等 功能 恢复 


国 控制 平面 与 数据 平面 

高 端 路 由 器 由 控制 平面 ( control plane ) 和 数据 平面 ( data plane， 也 可 称 为 转发 平面 ) 组 成 ， 
每 个 平面 都 有 自己 的 CPU 和 内 存 。 控 制 平 面 负责 执行 路 由 选择 协议 ， 管 理 路 由 选择 处 理 必 备 的 
数据 库 信 息 并 生成 FIB ( Forward Information Base， 转 发 信息 库 )。FIB 信息 将 会 被 转发 到 用 于 接 
收 传输 分 组 的 数据 平面 中 。 控 制 平面 和 数据 平面 分 离 的 优点 在 于 ， 当 需要 转发 的 通信 量 剧 增 导致 
数据 平面 资源 枯竭 时 ， 虽 然 无 法 继续 进行 分 组 转发 ， 但 对 控制 平面 上 路 由 选择 处 理 所 涉 及 的 资源 
没有 任何 影响 。 同 样 ， 当 路 由 选择 处 理 负载 剧 增 导致 控制 平面 资源 枯竭 时 ， 也 不 会 给 数据 平面 的 
资源 以 及 分 组 转发 处 理 带 来 任何 影响 。 

低 端 路 由 器 的 控制 平面 与 数据 平面 一 般 不 分 离 ， 使 用 唯一 的 CPU 和 内 存 进行 处 理 。 当 处 理 
的 通信 量 达 到 极限 时 ， 会 出 现 无 法 完成 分 组 转发 ， 同 时 路 由 选择 处 理 也 会 停止 的 情况 。 

控制 平面 所 需 的 核心 模块 在 思科 公司 的 路 由 器 中 称 为 路 由 处 理 锅 (route processor )， 在 
Juniper 公司 的 路 由 需 中 称 为 路 由 引擎 (routing engine )。 





























eNSF 

当 路 由 器 控 制 平面 停 止 运 行 时 ， 数 据 平面 也 能 够 根据 FIB 信息 不 间断 进行 分 组 转发 的 功能 即 
为 NSF (Non-Stop Forwarding， 不 间断 转发 )， 也 可 称 为 Graceful Restart ( GR， 优 雅 重启 )。NSF 
通过 路 由 器 内 部 的 控制 平面 元 余 化 实现 , 在 1 台 路 由 器 中 运行 主 路 由 处 理 器 和 副 路 由 处 理 吉 两 个 
处 理 器 (或 路 由 引擎 )。 当 主 路 由 处 理 器 发 生 故 障 时 ,会 由 副 路 由 处 理 右 接 蔡 其 完成 剩余 处 理 。 

















eSSO 

路 由 带 中 副 控 制 平 面 通过 同步 复制 并 管理 当前 运行 设置 和 接口 状态 等 系统 信息 ， 缩 短 主 控 
制 平面 发 生 故 障 时 切换 ( Failover ) 时 间 的 功能 ， 在 思科 公司 的 产品 中 称 为 SSO ( Stateful Switch- 
Over， 状 态 切换 ), 在 Juniper 公司 的 路 由 器 中 称 为 GRES ( Graceful Routing Engine Switchover， 优 
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雅 路 由 引 苟 切换 )。 


eNSR 

NSR (Non-Stop Routing， 不 间断 路 由 ) 是 指 OSPF 或 BGP 等 路 由 选择 协议 分 别 在 路 由 器 的 
主 副 控 制 平面 中 实现 。 即 使 使 用 了 SSO 或 GRES 功能 ， 路 由 器 在 切换 控制 平面 时 与 相 邻 路 由 器 
的 连接 也 会 新 开 ， 这 会 导致 路 由 选择 协议 的 相 邻 关系 断裂 。 尽 管 副 控制 平面 激活 后 所 有 会 话 会 
重新 连接 ， 但 由 于 之 前 的 链 路 已 不 存在 ， 因 此 相 邻 路 由 需 之 间 还 必须 寻找 新 的 链 路 。 这 时 ， 使 用 
NSR 就 可 以 使 主 控制 平面 和 副 控制 平面 的 路 由 选择 协议 状态 或 相 邻 路 由 器 之 间 的 连接 关系 始终 
保持 同步 。 当 主 控制 平面 发 生 故 障 时 ， 无 需 切 断路 由 信息 ， 直 接 由 副 控 制 平面 接 蔡 即 可 ， 因 而 避 
免 了 相 邻 路 由 器 进行 路 由 重 寻 的 过 程 。 























eNSS 

能 够 保持 不 间断 提供 路 由 器 运行 的 VLL ( Virtual Leased Line， 虚 拟 租用 线 )、VPLS ( Virtual 
Private LAN Service, 虚拟 专用 局 域 网 服务 )、IP-VPN、IES ( Internet Enhanced Service， 互 联网 增 
值 服务 )、DHCP 租用 状态 等 服务 的 功能 称 为 NSS( Non-Stop Service， 不 间断 服务 )。 





® ISSU 

能 够 在 不 中 断路 由 器 上 运行 的 路 由 选择 和 其 他 服务 的 状态 下 进行 路 由 需 软 件 升级 的 功能 称 为 
ISSU (In-Service Software Upgrade， 不 中 断 服务 升级 )。 也 可 以 说 ISSU 就 是 在 不 同 版 本 的 软件 中 
进行 NSR 和 NSS。 

路 由 器 内 部 控制 平面 的 元 余 化 ， 能 够 带 来 以 下 优点 。 











e 通过 优雅 启动 使 整个 网 络 不 间断 使 用 动态 路 由 选择 功能 ， 同 时 保持 全 网 的 稳定 。 

e 与 使 用 VRRP 等 元 余 协 议 的 网 络 相 比 ， 使 用 的 网 络 设备 数量 减少 ， 避 免 了 宛 余 硬件 之 间 
切换 抖动 带 来 的 影响 。 

e 用 户 无 需 对 设备 进行 额外 的 配置 与 接收 特定 的 培训 。 

e 线路 元 余 无 需 使 用 STP, 减少 了 2 次 回环 问题 发 生 的 概率 。 

e 因为 减少 了 网 络 中 硬件 数量 与 所 使 用 的 协议 数量 ， 所 以 简化 了 整个 网 络 ， 降 低 了 网 络 的 管 
理 成 本 。 

e 薪 换 网 络 硬件 等 回 有 模块 时 ， 通 信服 务 不 停 浅 ， 能 够 做 到 不 间断 处 理 业 务 。 

e 使 用 ISSU 能 够 升级 处 于 备份 状态 的 控制 平面 软件 ， 使 网 络 硬件 持续 服务 的 同时 ， 完 成 版 
本 升级 。 
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回 EE 相 使 用 链 路 汇聚 的 网 络 和 使 用 NSF 的 宛 余 结构 网 络 


传统 的 元 余 结构 网 络 使 用 内 部 宛 余 的 网 络 


三 









使 用 堆 县 
( stacking ) 
或 汇聚 



































结构 复杂 且 发 生 故 障 的 情况 较 多 故障 很 少 














| oaos 设置 操作 系统 时 使 用 的 命令 和 模式 


03.09.01 初始 化 


刚 买 的 路 由 器 在 首次 设置 前 会 保持 出 三 时 的 初始 设置 状态 。 

低 端 路 由 器 或 宽带 路 由 器 的 初始 默认 设置 已 经 包括 了 以 下 信息 : 管理 员 用 户 名 和 密码 、 网 络 
接口 的 私有 IP 地 址 (如 192.168.1.1 )、DHCP 服务 功能 等 ， 所 以 只 需 直 接连 接 计算 机 就 可 以 远程 
访问 UI， 完 成 后 续 设 置 。 

如 果 没 有 上 面 这 些 初始 设置 ， 则 需要 输入 网 络 接 口 的 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 管理 
员 用 户 名 与 密码 ， 输 入 后 保存 以 便 能 够 远程 访问 WebUI 或 CLI 界面 。 

保存 设置 后 ， 如 果 需 要 再 一 次 做 全 新 的 设置 ， 只 需 输 入 初始 化 命令 即 可 使 整个 硬件 回 到 出 厂 
时 的 默认 设置 状态 。 
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03.09.02 通过 CLI 设置 


几乎 所 有 通信 硬件 的 CLI 都 采用 了 和 Cisco IOS 相似 的 界面 。IOS 的 CLI 主要 有 以 下 特征 。 


国 CL| 模式 


多 数 通信 设备 的 CLI 都 有 不 同 的 模式 ， 有 的 模式 只 能 使 用 特定 的 命令 用 于 管理 ， 有 的 模式 





专门 用 于 设置 工作 ， 等 等 。 每 个 模式 都 需要 密码 认证 ， 因 而 非 指定 月 


设置 。 











Cisco IOS 路 由 器 中 使 用 的 模式 如 表 3-37 所 示 
人 EEEEg 盈 Cisco IOS 路 由 器 的 模式 类 型 


日 户 无 法 看 到 显示 信息 或 更 改 





模式 名 称 


说 明 





























模式 只 


























ping、show 等 命令 表示 路 由 器 的 状态 信息 。 使 用 “>” 作 为 提示 符 


























二 















































Router>enable 











Router#disable 


Ab 
能 
寺 权 模式 包括 了 设置 和 调试 路 由 器 ， 可 以 使 用 所 有 命令 。 丰 
模式 回 到 用 户 模式 则 输入 “disable” 命 令 
























































Router# ( 转 入 特权 模式 ) 




















Router> ( 转 入 用 户 模式 ) 


EF 用户 模式 下 输入 “enable” 命 令 切换 ， 从 特权 






































全 局 配置 模式 以 路 由 器 整体 框架 为 单位 进行 设置 时 使 用 的 模式 。 在 特权 模式 下 输入 
























































Router>enable 








入 ， 返 回 特权 模式 时 则 输入 “exit” 命 令 


Router#configure terminal 


Router ( config ) # ( 转 入 全 局 配置 模式 ) 
Router (config ) #exit 


Router# ( 转 入 特权 模式 ) 





“configureterminal” 命 令 进 



































详细 配置 模式 以 路 由 器 网 络 接口 和 协议 为 单位 ， 在 为 路 由 器 的 某 些 功能 进行 单独 设置 时 使 用 的 模式 。 例 如 ， 如 























































































































则 输入 “end” 命 令 


Router ( config ) 


Router# 





果 想 对 网 络 接口 进行 单独 设置 ， 就 在 全 局 配置 模式 下 输入 “interface” 命 令 ， 返 区 





全 








局 配置 模式 











interface FastEthernet 0/1 


Router (config-if )# 


Router ( config-if ) #end 
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国 帮助 

输入 命令 关键 字 时 在 后 面 加 上 “?”， 设 备 就 会 显示 出 该 命令 后 续 构 成 的 帮助 信息 。 如 果 在 命 
令 关 键 字 中 输入 “?”， 设 备 则 会 显示 出 以 该 字符 开始 的 命令 一 览 表 。 在 命令 关键 字 后 输入 空格 再 
加 上 “2?”， 设 备 会 提示 下 一 个 命令 关键 字 信息 。 
例 ) 输入 copy 命令 关键 字 后 ， 再 输入 空格 和 “?”， 设 备 显 示 出 下 一 个 命令 的 关键 字 信 息 ， 
用 户 就 可 以 明白 接 下 来 该 输入 的 是 running-confiig，startup-config 和 SRING (任意 文件 名 )。 

































































#copy ? 

running-config Copy running configuration file 

startup-config Backup the startup-config to a specified destination 
STRING Source file 


#copy running-config ? 


国 快捷 键 
为 了 快速 输入 CLI 命令 信息 ，CLI 一 般 会 支持 表 3-38 列 出 的 快捷 键 。 其 中 关键 字 补 全 的 Tab 
键 是 快捷 键 中 最 常 使 用 的 一 种 。 


快捷 键 的 种 类 


























导航 类 快捷 键 
光标 右 移 1 个 字符 CtrlI+F 或 一 
光标 左 移 1 个 字符 ER 
光标 右 移 ( 前 移 ) 一 个 单词 Esc+F 

光标 左 移 ( 后 移 ) 一 个 刘 Esc+B 

光标 移动 至 行 首 rl+A 
光标 移动 至 行 末 
编辑 类 快捷 键 

除 光标 位 置 上 的 字符 
除 从 光标 开始 至 字符 串 末 尾 的 所 有 
除 光 标 前 的 字符 +H 或 backspace 
除 从 光标 位 置 开 始 至 行 末 尾 的 所 有 字符 +K 

光标 至 行 首 的 所 有 字符 
光标 左 侧 一 个 字符 串 的 所 有 字符 
除 的 项 
车 候 选单 词 数量 为 1 时 补 全 ) 

生 候 选单 词 数量 为 1 时 补 全 ， 和 tab 相同 ) 
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国 命令 历史 
键盘 上 的 了 或 Ctrl+P 键 能 够 调 出 当前 命令 前 一 次 使 用 的 历史 命令 。 或 Ctrl+N 能 调 出 当前 
命令 下 一 条 使 用 的 历史 命令 。 使 用 “show history” 命 令 能 够 列 出 所 有 缓存 下 来 的 历史 命令 清单 。 














03.09.03 ”保存 设置 的 方法 


国 使 用 保存 命令 的 方式 

在 Cisco IOS 中 通过 命令 更 改 路 由 器 设置 后 ， 这 个 更 改 会 立刻 在 路 由 器 上 体现 ， 并 以 
running-config 的 形式 保存 在 RAM 中 。 当 因 切 断 电源 等 原因 重新 启动 时 ，RAM 中 的 信息 全 部 丢 
失 ， 路 由 器 则 加 载 保存 于 NVRAM 中 的 startup-config。 因 此 在 保存 路 由 器 的 当前 设置 时 ， 还 要 通 
过 下 面 的 保存 命令 (save command ) 完成 从 running-config 到 startup-config 的 拷贝 。 



































Router#copy running-config startup-config 





以 前 大 多 数 通 信 设 备 均 使 用 该 方式 操作 。 但 由 于 输入 命令 后 变化 会 立刻 在 设备 中 体现 ， 因 此 
当 输 入 了 错误 命令 的 时 候 ， 就 会 发 生 问题 。 














国 使 用 提交 方式 ( commit ) 

Juniper 公司 的 JUNOS 和 Palo Alto Networks 公司 (以 下 简称 Palo Alto 公司 ) 的 PAN-OS 使 
用 了 称 为 提交 (commit ) 的 保存 方式 。 当 管理 员 通 过 命令 行 修改 设置 时 ， 修 改 信 息 只 保存 于 
candidate config 中 ， 而 不 体现 在 路 由 器 上 。 当 输入 “commit” 命 令 时 ，candidate config 中 的 内 
容 才 会 体现 在 路 由 器 中 ， 同 时 该 设置 信息 的 保存 形式 也 变 成 active config ( running-config ), 与 
startup-config 一 样 ，active config 也 是 在 设备 重启 时 可 被 加 载 的 config。 

在 提交 方式 中 ， 即 使 设置 到 一 半 发 现 出 钳 了 ， 也 可 以 在 设置 正式 生效 、 路 由 需 的 运行 改变 之 
前 进行 修改 。 另 外 ， 因 为 该 方式 可 以 管理 之 前 50 次 甚至 100 次 的 提交 设置 记录 ， 因 此 还 能 够 简 
单 地 还 原 之 前 的 设置 。 




















03.09.04 ”恢复 出 厂 设 置 的 重 置 方法 








路 由 器 或 其 他 网 络 硬件 一 般 都 会 提供 恢复 到 出 厂 设置 的 功能 。 当 管理 员 忘 记 已 经 更 改 的 密码 
或 想 要 彻底 改变 设备 用 途 而 进行 初始 化 时 ， 都 需要 使 用 恢复 出 三 设置 的 功能 。 
Cisco IOS 中 可 以 通过 下 面 的 方式 恢复 出 厂 设 置 。 


全 局 配置 模式 下 ， 使 用 “config-register 0x2102” 命 令 
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中 检查 路 由 器 配置 寄存 器 ， 即 输出 show version 命令 后 的 最 后 一 行 。 如 果 寄 存 器 不 是 
0x2102， 则 在 全 局 模式 下 输入 config-register 0x2102 命令 。 








router# configure terminal 
router (config)# config-register 0x2102 
router (config)# end 


routert# 


@) 使 用 write erase 命令 ， 有 删除 路 由 器 启动 配置 信息 。 
@) 使 用 reload 命令 重 置 路 由 器 ， 且 不 保存 当前 设置 。 














router#reload 
System configuration has been modified. Save? [yes/nol]: n 
Proceed with reload? [confirml] 
由 路 由 器 重 置 后 ， 会 显示 System Configuration 对 话 提 示 ， 路 由 器 设 定 已 恢复 为 出 厂 默 认 
设置 。 
Svstem Confuauratiom Dialog 


Would you like to enter the initial configuration dialog? [yes/nol] : 
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本 章 将 集中 介绍 L3 交换 机 和 多 层 交 换 机 的 历史 、 种 类 、 
功能 、 架 构 等 相关 信息 ， 帮 助 读者 理解 路 由 器 与 L3 交换 
机 的 不 同 。 

另外 ， 本 章 还 会 介绍 多 种 VLAN。 
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04.01 何 为 L3 交换 机 








L3 交换 机 是 一 种 在 工 2 交换 机 的 基础 上 增加 了 路 由 选择 功能 的 网 络 硬件 ， 能 够 通过 基于 
ASIC 和 FPGA 的 硬件 处 理 高 速 实现 网 络 功 能 和 转发 分 组 。 

L2 是 指 OSI 参 考 模型 中 的 L2， 也 就 是 数据 链 路 层 。L2 交换 机 能 够 基于 该 层 主要 编 址 的 
MAC 地 址 ， 进 行 数据 帧 或 VLAN ( Virtual Lan ) 的 传输 工作 。L3 交换 机 能 够 基于 位 于 网 络 层 
(13 ) 的 了 P 首 部 信息 ,实现 路 由 选择 以 及 分 组 过 滤 等 功能 。 

L2 交换 机 可 以 通过 使 用 VLAN 分 制 广播 域 , 但 终端 之 间 的 数据 帧 交换 必须 位 于 同一 VLAN 
范围 内 。 对 位 于 不 同 VLAN 上 的 终端 如 有 通信 需求 时 ， 则 必须 使 用 路 由 功能 ， 因 此 需要 在 网 络 
上 额外 添加 路 由 器 (图 4-1)。 

L2 交换 机 与 路 由 器 相 组 合 才能 完成 跨 VLAN 的 通信 ， 但 使 用 L3 交换 机 则 无 需 其 他 硬件 设 
备 ， 能 够 直接 完成 VLAN 配置 和 VLAN 之 间 的 通信 过 程 。 


L2 交换 机 使 用 VLAN 时 的 概念 图 



















































































一 一 一 | VLAN 之 间 的 通信 需要 借助 路 由 器 完 
使 用 VLAN 能 够 分 割 广播 域 | | 成 路 由 选择 功能 方 能 进行 










































































VLAN1 VLANI1 VLAN2 


L3 交换 机 使 用 VLAN 时 的 概念 图 


1 台 L3 交 换 机 就 能 够 
完成 VLAN 路 由 
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现在 ， 越 来 越 多 组 织 的 内 部 网 络 核心 交换 机 采用 L3 交换 机 。L3 交换 机 多 用 于 在 由 以 太 网 构 
筑 的 Intranet 内 部 转发 分 组 ， 而 路 由 需 则 大 多 作为 连接 互联 网 和 Intranet 内 网 之 间 的 网 关 来 使 用 。 





04.01.01 L3 交换 机 与 路 由 器 的 不 同 


早期 的 L3 交换 机 有 些 产品 支持 非 以 太 网 的 数据 链 路 层 协议 ， 如 FDDI 和 令 牌 环 等 ， 也 文 持 
非 IP 网 络 的 网 络 层 协议 ， 如 IPX 和 AppleTalk 等 。 但 是 现在 市 场 上 主流 的 L3 交换 机 产品 一 般 仅 
支持 以 太 网 的 数据 链 路 层 协议 和 IP 网 络 的 网 络 层 协议 。 

路 由 器 的 物理 层 以 及 数据 链 路 层 除 了 IEEE 802 标准 以 外 ， 还 需 支 持 其 他 各 种 协议 ， 其 中 包 
括 ATM、 帧 中 继 、SDH、 串 口 等 。 网 络 层 和 传输 层 也 同样 需要 支持 TCP/IP 协议 复 以 外 的 协 
议 复 ， 如 IPX、AppleTalk 等 。 这 些 处 理 一 般 都 由 运行 在 CPU 上 的 软件 来 完成 ， 与 L3 交换 机 
相 比 ， 速 度 会 慢 不 少 ， 但 类 似 远 程 接 入 、 安 全 功能 这 样 必须 由 路 由 器 CPU 来 处 理 的 功能 也 很 多 
( 表 4-1)。 中 端 以 上 级 别 的 路 由 器 大 多 数 采 用 网 络 处 理 器 (参考 01.06.04 节 ) 高 速 进 行 数 据 链 路 
层 以 下 的 处 理 。 

另外 ， 低 端 路 由 絮 产 品 中 大 多 数 只 文 持 以 太 网 和 IP 网 络 协议 。 











L3 交换 机 同 路 由 器 的 比较 


L3 交换 机 路 由 器 
后 箱 式 、 机 框 式 面 式 、 箱 式 、 机 框 式 
数据 帧 处 理 基于 ASIC 的 硬件 处 理 于 CPU 的 软件 处 理 
线 速 ( wire rate ) 注 1 处 理 比 L3 交换 机 速度 慢 
以 太 网 ( RJ-45、 光 收发 器 ) 以 太 网 ( RJ-45、 光 收发 器 )、 串口 、ISDN、 
ATM、SDH 等 

不 支持 的 协议 、 功 能 六 ? 拨号 接 入 ( PPP、PPPoE )、 高 Qos、NAT、 | STP/RSTP、LAN tracking、IEEE 802.1X、 
VPN、 状 态 检测 、 高 安全 功能 、VolP 等 私有 VLAN、 堆 到 等 














































































































注 1: 线束 (wire rate ) 的 相关 内 容 请 参考 第 7 章 。L3 交换 机 在 千 兆 以 太 网 时 单 向 传输 速率 能 够 达到 1Gbit/s， 而 路 由 器 无 
法 达到 1Gbit/s。 
注 2 : 根据 机 型 不 同 ， 有 些 产品 能 够 通过 添加 模块 来 扩展 支持 功能 。 


加 L3 交换 机 的 架构 

L3 交换 机 的 构成 要 素 如 图 4-3 以 及 表 4-2 所 示 ， 高 端 路 由 器 和 防火 墙 也 使 用 同样 的 架构 。 传 
统 路 由 融 的 路 由 选择 功能 、 分 组 转发 以 及 管理 功能 等 均 由 CPU 处 理 ， 管 理 功 能 负载 的 增加 ， 就 
会 带 来 分 组 转发 能 力 的 下 降 。L3 交换 机 改善 了 这 一 缺点 ， 将 硬件 设备 内 部 分 离 成 两 个 区 域 ， 即 
以 路 由 选择 、 管 理 功能 为 主 的 控制 平面 和 以 数据 转发 功能 为 主 的 数据 平面 ， 从 而 实现 了 能 够 高 速 
转发 分 组 的 系统 架构 。 
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L3 交换 机 的 结构 





控制 平面 
CPU、 内 存 、Supervisor 1OS ) 









































数据 平面 
( ASIC、TCAM ) 















































L3 交换 机 的 硬件 构成 

















































































































































































































硬件 构成 说 明 

控制 平面 通过 基于 CPU 的 软件 处 理 进 行 硬件 整体 控制 。 负 责 操作 系统 管理 、 管 理 员 用 户 界面 、 路 
选择 协议 处 理 等 工作 

数据 平面 通过 基于 ASIC、FPGA、 网 络 处 理 器 的 硬件 处 理 来 进行 实际 的 数据 传输 。 在 L2 上 完成 MAC 
数据 帧 传输 ( 桥接 )、 在 L3 上 完成 IP 分 组 传输 ( 路 由 选择 )。 在 传输 时 也 会 进行 必要 的 访问 
控制 列表 和 QoS 相关 的 处 理 








































































































背 板 完成 物理 接口 之 间 的 数据 传输 。 背 板 存在 下 面 几 种 方式 ( 具体 内 容 参 考 03.08 节 ) 
背 板 方式 说 明 
共享 总 线 方式 在 机 框 内 部 使 用 1 根 总 线 ( 数据 传输 线路 )。 在 总 线 上 一 次 只 能 通过 1 个 数据 由 
共享 内 存 方式 在 共享 内 存 中 存储 接收 到 的 数据 帧 ， 然 后 在 发 送 接口 处 读 取 数据 帧 并 转发 
纵横 通路 方式 在 多 个 呈 网 状 的 总 线 上 同时 完成 数据 的 传输 




















机 框 内 连接 各 线 卡 ( 刀片 设备 ) 的 以 太 网 标准 
IEEE 802.3ap 1000BASE-KX ( 1Gbit/s ) 


10GBASE-KX4 ( 10Gbit/s ) 
10GBASE-KR ( 10Gbit/s ) 


IEEE 802.3ba 40GBASE-KR4 ( 40Gbit/s ) 


物理 接 与 其 他 硬件 之 间 进 行 数 据 帧 收发 。 在 L3 交换 机 中 使 用 RJ-45 或 光 收 发 器 ( SFP 等 ) 接 头 








































































































当 硬 件 内 部 结构 分 为 控制 平面 和 数据 平面 时 ， 分 组 的 传输 需要 利用 FIB (转发 信息 库 ) 与 邻 
接 表 的 信息 ( 表 4-3 )。 在 Cisco IOS 中 这 种 利用 转发 信息 库 和 邻接 表 信 息 的 IP 分 组 传输 方式 叫做 
CEF ( Cisco Express Forwarding，Cisco 特快 转发 )。 

















控制 平面 与 数据 平面 上 传输 的 信息 
表 项 说 明 
FIB 面 上 路 由 选择 表 的 信息 在 数据 平面 上 生成 的 效 的 目的 地 子 

























































































( Forwarding Information Base ) k、 输 出 接口 的 组 合 等 信息 构成 的 款 


邻接 表 上 ARP 表 的 信息 在 数据 平面 上 生成 的 、 由 当 效 目的 地 主机 和 输 
( adjacency table ) 等 信息 构成 的 表 项 
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路 由 器 使 用 CPU 完成 分 组 转发 ， 而 L3 交换 机 使 用 ASIC 代替 CPU， 分 组 的 转发 更 为 高 速 
(图 4-4)。 


箱 式 和 机 框 式 L3 交换 机 的 架构 












中 在 输入 端口 处 接收 分 组 


















---- 丁 -----------~ 人 根据 内 存 上 存储 
网 络 控制 器 的 路 由 选择 表 信 


息 决 定 输出 端 
























































网 络 控制 器 












€ -~-- @@ 修改 L2/L3 首 部 ， 从 输 H 
上 发 送 


端口 的 网 络 控 制 器 











EE 





































@@ 根据 内 存 上 存储 的 路 
息 决定 输出 端口 









































每 块 线 卡 与 交换 结构 之 间 的 总 线 带宽 之 和 
即 为 背 板 的 于 



































转发 至 配 有 输 
的 线 卡 上 















@G) 修改 L2/L3 首 部 ， 输 
结构 中 


在 线 卡 上 检索 路 由 表 或 修改 IP 分 组 信息 每 块 线 卡 与 交换 结构 之 间 的 总 线 带 宽 之 和 
即 为 背 板 的 带宽 
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L3 交换 机 将 转发 信息 库 和 邻接 表 整 合成 1 份 表 项 。 该 表 称 为 FDB ( Forwarding Database， 转 
发 数据 库 ) 或 L3 表 ， 注 册 于 内 存 中 并 通过 硬件 处 理 完成 高 速 检 索 。( 图 4-5 ) 





L3 表 的 概念 图 








路 由 选择 表 














L3 表 


目的 地 


网 关 



































目的 地 M 主机 





网 关 VLAN | 端 


192.168.1.0/24 


192.168.1.1/24 























00:11:22:aa:bb:cc 











00:01:23:11:22:33 


10.1.1.0/24 


10.1.1.1/24 




















00:11:22:bb:cc:dd 





00:01:23:11:22:33 


ARP 表 











00:11:22:cc:dd:ee 





00:01:23:11:22:33 


IP 地 址 


MAC 地 址 


























00:11:22:dd:ee:ff 





00:01:23:11:22:33 


192.168.1.1/24 


00:01:23:11:22:33 


















10.1.1.1/24 00:01:23:11:22:33 





















L3 交 换 机 








MAC: 00:11:22:cc:dd:ee 
IP: 10.1.1.100 


MAC: 00:11:22:dd:ee:ff 
IR: TOMO01 














suUnispenla22.33 





192.168.1.1 







VLAN20 


us 


L2 交 换 机 功能 






VLAN10 


L2 交 换 机 功能 





J 








目的 地 MAC 地 址 
00:11:22:aa:bb:cc 
00:11:22:bb:cc:dd 

















L2 转发 表 

目的 地 MAC 地 址 
00:11:22:cc:dd:ee 
00:11:22:dd:ee:ff 






































MAC: 00:11:22:aa:bb:cc 
IP: 192.168.1.4 
MAC: 00:11:22:bb:cc:dd 
IP: 192.168.1.5 
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L3 交换 机 的 内 部 处 理 示例 














































































































































路 由 选择 表 
192.168.1.0/24 |192.168.1.1/24 1 13 
1011024 |10.1.1.1/24 1 14 
转发 至 各 个 目的 地 的 第 一 个 分 组 通过 软件 ARP 表 
处 理 检 索 输出 端口 ， 并 将 检索 结果 写 入 Tap MC 地 二 。 VIAN | 这 
L2/L3 转 发 表 中 电 址 地 址 杰 
192.168.1.1/24 |00.0123112233 | 10 | 13 
1011124 1000123112233 | 20 | 14 





目的 地 网 关 度量 [ 端 O | 


第 2 个 分 组 之 后 ， 目 的 
地 交 由 ASIC 检 索 



































专用 ASIC 
EE、 访 问 控制 列表 、L4 处 理 虽 
























目的 地 M 主机 
00:11:22:aa:bb:cc 
00:11:22:bb:cc:dd 
00:11:22:cc:dd:ee 
00:11:22:dd:ee:ff 





O0123:11:22: 
00:01:23:11:22: 
00:01:23:11:22: 
00:01:23:11:22: 











































目的 地 MAC 地 址 
00:11:22:cc:dd:ee 
00:11:22:dd:ee:ff 



































































路 由 选择 ASIC ( 硬件 ) 处 理 


二 


04.01.02 ”多 层 交 换 


除 L2 交换 机 之 外 ， 拥有 L3 以 上 功能 的 交换 机 统称 为 多 层 交 换 机 或 高 层 交 换 机 。 

拥有 IP 路 由 选择 等 网 络 层 功能 的 L3 交换 机 几乎 都 能 够 通过 访问 控制 列表 来 对 传输 层 (LL4 ) 
的 TCP 端口 编号 进行 访问 控制 ， 因 此 这 些 L3 交换 机 在 有 些 场景 下 也 可 被 称 为 多 层 交 换 机 。 

这 类 能 够 支持 到 TCP 层级 访问 控制 的 交换 机 称 为 L4 交换 机 。 甚 至 有 些 产品 能 够 基于 HTTP 
和 HTTPS 这 类 应 用 层 (7 ) 参数 进行 负载 均衡 (Load Balancing ) 等 操作 ， 这 类 产品 可 以 称 为 L7 
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交换 机 。 有 些 厂商 将 处 理 到 该 层 的 产品 与 之 前 的 路 由 器 区 分 开 来 ， 作 为 不 同类 型 的 产品 进行 销 
售 。 但 所 谓 的 多 层 交 换 机 ， 也 就 是 通过 基于 ASIC 或 FPGA 的 硬件 处 理 ， 来 高 速 进行 各 层 相 关 业 
务 处 理 的 网 络 硬件 。 

多 层 交 换 机 与 传统 路 由 器 的 不 同 之 处 也 可 参考 表 4-1。 


























国 负载 均衡 器 

从 多 个 客户 端 同时 连接 到 1 台 服 务 器 可 能 会 导致 服务 器 的 处 理 能 力 超过 负载 。 这 时 ， 如 果 准 
备 了 多 人 台 拥 有 相同 内 容 或 提供 相同 服务 的 服务 器 ， 通 过 使 用 负载 均衡 器 ( load balancer )， 就 可 以 
将 来 自 客户 端的 请 求 分 散 到 各 个 服务 器 进行 处 理 。 

负载 均衡 器 可 以 是 专用 设备 ， 也 可 以 是 在 通用 服务 器 上 运行 的 应 用 程序 。 专 用 设备 一 般 只 有 
以 太 网 接口 ， 可 以 说 是 多 层 交 换 机 的 一 种 。 

另外 ， 也 存在 拥有 分 组 负载 均衡 功能 的 路 由 器 。 

专用 设备 的 负载 均衡 器 示例 


F5 Networks 公司 BIG-IP 系列 
































精工 精密 ( SEIKO PRECISION ) 公 司 的 NetWiser 系列 





A10 Networks 公司 的 AX 系列 











中 该 产品 线 收购 自 北 电网 络 。 





译 者 注 
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负载 均衡 器 一 般 会 被 分 配 虚 拟 IP 地 址 ， 所 有 来 自 客户 端的 请 求 都 是 针对 虚拟 IP 地 址 完成 的 
(图 4-11 )。 负 载 均 衡 需 通过 负载 均衡 算法 将 来 自 客户 端的 请 求 转发 到 服务 需 的 实际 卫 地 址 上 。 
如 表 4-4 所 示 ， 通 过 使 用 负载 均衡 需 可 以 提高 扩展 性 和 可 靠 性 。 


负载 群 衡 器 的 作用 

















在 服务 器 群 ( 即 虚 拟 服务 器 ) 处 理 能 力 不 足 时 ， 负 载 均 衡器 能 够 随时 添加 1 台 物 理 服务 器 。 
户 端 访问 的 是 虚拟 IP 地 址 ， 因 此 虚拟 服务 器 性 能 的 提高 是 显而易见 的 
即使 服务 器 群 中 某 台 服务 器 发 生 了 故障 ， 虚 拟 服务 器 也 会 继续 提供 服务 ， 以 确保 其 他 服务 器 能 够 
继续 不 间断 地 处 理 业务 。 同 理 ， 当 服务 器 群 中 某 台 服务 器 需要 停机 保养 时 ， 也 可 以 通过 不 间断 虚 
以 服务 器 来 完成 































































































客户 端 向 虚拟 服务 器 
发 送 请 求 


I 
I 
有 
’ 


虚拟 服务 器 


mm em 


mm 


负载 均衡 器 


据 实 际 情况 ， 分 散 


户 庙 请 求 

















用 户 ( 客户 端 ) 服务 器 


负载 均衡 右 不 仅 适用 于 服务 器 ， 防 火 墙 或 代理 服务 絮 这 种 仅 靠 1 台 设 备 就 会 性 能 十 分 差 的 安 
全 设备 也 可 以 使 用 负载 均衡 器 。 
表 4-5 举例 说 明了 负载 均衡 器 将 来 自 客户 端的 请 求 分 散 至 服务 絮 时 使 用 的 负载 均衡 算法 。 


和 3》 负载 均衡 算法 的 示例 





























































































































算法 名 称 说 明 
轮 询 假如 有 3 台 服 务 器 ， 则 以 1 一 2 一 3 一 1 一 2 一 3 一 1…… 的 顺序 进行 负载 均衡 分 散 的 
( Round Robin ) 算法 。 当 服务 器 群 中 各 服务 器 的 处 理 能 力 相 同 ， 且 每 笔 业 务 处 理 量 差 异 不 大 时 ， 最 适合 
使 用 该 算法 。 该 算法 中 的 DNS 轮 询 ， 在 1 个 域名 内 分 配 了 多 个 IP 地址， 即使 不 使 用 负 
载 均衡 器 也 能 够 完成 服务 器 之 间 的 负载 均衡 
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算法 名 称 说 明 
最 少 连 接 在 多 个 服务 器 中 ， 与 处 理 连接 数 ( 会 话 数 ) 最 少 的 服务 器 进行 通信 的 算法 。 即 使 在 每 台 服 
( Least Connections ) 务 器 处 理 能 力 各 不 相同 ， 每 笔 业 务 处 理 量 也 不 相同 的 情况 下 ， 也 能 够 在 一 定 程度 上 降低 
服务 器 的 负载 
加 权 轮 询 为 轮 询 中 的 每 台 服 务 器 附加 一 定 权 重 的 算法 。 例 如 ， 为 服务 器 1 附加 权重 1， 服 务 
( Weighted Round Robin ) 器 2 附加 权重 2， 服 务 器 3 附加 权重 3， 则 以 1 一 2 一 2 一 3 一 3 一 3 一 1 一 2 一 
2 一 3 一 3 一 3 一 1 一 …… 的 顺序 进行 轮 询 ， 该 算法 适用 于 各 服务 器 处 理 能 力 不 同 的 情况 





































































































加 权 最 少 连接 为 最 少 连接 算法 中 的 每 台 服务 器 附加 权重 的 算法 。 该 算法 事先 为 每 台 服 务 器 分 配 处 理 连 
( Weighted Least Connections ) | 接 的 数量 ， 并 将 客户 端 请 求 转 至 连接 数 最 少 的 服务 器 上 

































































IP 地 址 散 列 通过 管理 发 送 方 IP 和 目的 地 IP 地 址 的 散 列 ， 将 来 自 同一 发 送 方 的 分 组 ( 或 发 送 至 同 
的 地 的 分 组 ) 统 一 转发 到 相同 服务 器 的 算法 。 当 客户 端 有 一 系列 业务 需要 处 理 而 必须 和 
服务 器 反复 通信 时 ， 该 算法 能 够 以 流 ( 会 话 ) 为 单位 ， 保 证 来 自 相 同 客户 端的 通信 能 
够 一 直 在 同一 服务 器 中 进行 处 理 
URL 散 列 通过 管理 客户 端 请 求 URL 信息 的 散 列 ， 将 发 送 至 相同 URL 的 请 求 转发 至 同一 服务 器 的 算法 
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国 SSL 加 速 

SSL 加 速 4SSLAcceleration ) 是 负载 均衡 器 专用 设备 提供 的 功能 之 一 ， 执 行 该 功能 的 设备 内 
部 装置 称 为 SSL 加 速 器 。 

在 服务 屁 进 行 SSL 通信 时 ， 对 通信 终端 之 间 传 输 的 数据 进行 加 密 解 密 的 操作 需要 执行 相当 
复杂 的 计算 ， 这 会 导致 服务 器 CPU 的 处 理 负 载 进 一 步 加 大 。 而 与 不 执行 加 密 解 密 的 HTTP 通信 
相 比 ，HTTPS 的 处 理 负载 是 前 者 的 10 倍 。 

这 时 ， 通 过 使 用 SSL 加 速 器 对 来 自 客户 端的 HTTPS 请 求解 密 ， 将 其 转换 为 HTTP 请 求 后 再 
转发 至 实际 的 服务 器 上 ， 这 样 就 可 以 降低 服务 器 CPU 的 处 理 负载 (图 4-12 )。 

这 样 一 来 ， 整 个 系统 在 提高 服务 器 响应 速度 的 同时 还 能 减少 必 备 服务 器 的 数量 ， 在 单位 时 间 
内 能 够 转发 更 多 Web 服务 内 容 。 


要 了 网 SSL 加 速 









































HTTP 
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04.02 L3 交换 机 是 如 何 诞 生 的 


正如 03.02 节 所 述 ， 早 期 的 路 由 器 支持 ATM、 帧 中 继 、 串 行 传输 等 各 类 数据 链 路 层 (2 ) 的 
通信 功能 ， 而 且 在 网 络 层 (L3 ) 中 同样 支持 IP 网 络 之 外 的 IPX、AppleTalk 等 网 络 层 协议 簇 。 这 
些 协 议 均 是 通过 基于 CPU 的 软件 处 理 来 实现 的 ， 但 是 随 着 网 络 通信 流量 的 增加 ， 出 现 了 更 高 速 
的 网 络 处 理 需 求 。 

在 这 样 的 背景 下 ， 各 个 厂商 开发 了 在 使 用 ASIC 完成 高 速 数据 帧 处 理 的 12 交换 机 基础 上 ， 
同样 支持 卫 路 由 选择 等 L3 功能 的 L3 交换 机 。 

1990 年 ， 美 国 Kalpana 公司 发 布 了 世界 上 第 一 台 L2 交换 机 EtherSwitch。 随 后 ，1992 年 ， 
3Com 公司 为 了 缩减 设备 数量 与 投资 成 本 ， 在 LANplex5000 交换 机 上 实现 了 路 由 选择 功能 ( 这 时 

















这 
的 路 由 选择 功能 还 是 基于 软件 处 理 的 ) 不 久之 后 ，3Com 公司 又 发 布 了 使 用 ASIC 实现 路 由 选择 
的 CoreBuilder 系列 交换 机 。 
1996 年 ，Extreme Networks 公司 和 Foundry Networks 公司 相继 成 立 ， 并 成 为 3 交换 机 供 
应 商 。 不 久之 后 ， 思 科 公 司 等 传统 交换 机 厂商 也 开始 发 布 支持 新 功能 、 新 特性 的 产品 ， 逐 步 开 始 
渗透 到 L3 交换 机 市 场 。 


L3 交换 机 的 历史 










































































年 事件 标准 化 等 

988 IEEE 802.3a ( 10BASE2 ) 
RIP ( RFC1058 ) 

990 | Kalpana 公司 发 售 EtherSwitch 交换 机 产品 IEEE 802.3i ( 10BASE-T ) 

992 | 3Com 公司 在 LANplex 5000 交换 机 上 实现 路 由 选择 功能 OSPF 版 本 2 ( RFC1247 ) 

993 | 思科 公司 发 售 高 端 路 由 器 Cisco 7000 

995 | 思科 公司 发 布 Catalyst 5000 交换 机 IEEE 802.3u ( 100BASE-TX ) 











BGP 版 本 4 ( RFC1771) 
IPv6 ( RFC1883 ) 





1996 | Foundry Networks 公司 成 立 

Extreme Network 公司 成 立 

Juniper Networks 公司 成 立 

1997 | Foundry Networks 公司 发 布 干粮 以 太 网 交换 机 Fastlron 和 L3 交换 机 Netlron 
Extreme Network 公司 发 布 干 兆 以 太 网 L3 交换 机 Summit1 

思科 公司 为 Catalyst 5000 系列 交换 机 添加 L3 功能 


























中 ”该 公司 已 被 博 科 通 讯 系统 公司 ( Brocade ) 收 购 。 





译 者 注 
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年 事件 标准 化 等 
1998 | Foundry Networks 公司 发 布 L4~L7 层 交 换 机 IEEE 802.3z ( 100BASE-X ) 
思科 公司 发 布 L3 交换 机 Catalyst 8500 系列 RIP 版 本 2 ( RFC2453 ) 
IEEE 802.1Q ( VLAN ) 
1999 | 思科 公司 发 售 Catalyst 6000 系列 和 Catalyst 6500 系列 交换 机 IEEE 802.3ab ( 1000BASE-T ) 
Force10 Networks 公司 成 立 
2000 | 思科 公司 发 售 L3 交换 机 Catalyst 2948G-L3 和 Catalyst 4908G-L3 
2001 | Foundry Networks 公司 发 布 万 兆 以 太 网 模块 MPLS ( RFC3031 ) 
2002 | F5 Networks 公司 成 立 
2003 IEEE 802.3ae ( 10GBASE-R ) 
IEEE 802.1Q ( VLAN ) 修 订 版 
2004 | 日 立 制作 所 和 日 本 电气 公司 的 合资 公司 ALAXALA Networks 公司 成 立 
Foundry Networks 公司 发 布 L4~7 层 交换 机 Serverlron 系列 
A10 Networks 公司 成 立 
2006 IEEE 802.3an ( 10GBASE-T ) 
2008 | Juniper Networks 公司 发 布 以 太 网 交换 机 EX 系列 UDLD ( RFC5171 ) 
博 科 通 讯 系 统 公司 ( Brocade ) 收 购 Foundry Networks 公司 
2011 | Dell 公司 收购 Force10 Networks 公司 
3 交换 机 的 性 能 比较 
L3 交换 机 和 路 由 需 一 样 ， 以 pps 为 单位 描述 转发 性 能 (分 组 处 理性 能 )， 而 且 和 1L2 交换 机 











一 样 ， 帧 处 理 能 力 以 最 大 交换 容量 ( 半 


背 板 容量 ) 为 指标 。 









































全 区 总 结 了 各 个 厂商 L3 交换 机 产品 的 最 大 交换 容量 
产品 名 称 最 大 交换 容量 关 ? 
Cisco Systems Catalyst 3750 32Gbit/s 
Brocade FCX 624 128~200Gbit/s 
Cisco Systems Catalyst 6500 720Gbit/s 
Brocade Fastlron SX 1600 1.08Tbit/s 
Cisco Systems Nexus 7000 1.4Tbit/s 
ALAXALA Networks AX7816S 768Gbit/s 
Juniper Networks EX8216 12.4Tbit/s 
Brocade MLXe 15.36Tbit/s 











1: 数据 来 自 各 个 产品 的 规格 说 明 书 。 
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04.03 L3 交换 机 的 分 类 


根据 形状 和 用 途 分 类 


和 世 2 交换 机 一 样 , L3 交换 机 也 可 以 根据 形状 和 用 途 分 类 ， 详 细 内 容 可 以 参考 02.06 节 。 


04.03.01 


04.03.02 根据 性 能 分 类 


根据 L3 交换 机 的 背 板 容量 ，L3 交换 机 可 以 分 成 高 端 机 、 中 端 机 和 低 端 机 。 


国 高 端 L3 交换 机 

机 框 式 L3 交换 机 由 路 由 引擎 、 交 换 结 构 、 线 卡 模块 、 风 扇 模 块 和 电源 模块 这 几 个 模块 构 
成 ,一般 作为 企业 的 核心 交换 机 用 于 数据 中 心 或 服务 供应 商 。 

为 了 提高 交换 机 的 可 靠 性 ， 除 了 线 卡 模块 之 外 ， 其 余 模 块 均 提 供 了 和 宛 余 结构 。 电 源 或 风扇 模 
块 通常 采用 1+N 或 N+N 宛 余 结构 ， 路 由 引擎 则 通常 采用 1+1 的 宛 余 结构 "。L3 交换 机 一 般 通过 

台 设 备 构成 VRRP 等 L3 元 余 结构 ,来 提高 整个 系统 的 可 用 性 ， 但 使 用 单 台 交换 机 内 部 元 余 的 

情况 也 很 多 。 

该 类 型 L3 交换 机 的 价格 在 500~1000 万 日 元 左右 。 

表 4-8 列 出 了 主要 的 高 端 3 交换 机 产品 信息 。 


5》 各 公司 高 端 L3 交换 机 产品 的 性 能 比较 




























































































Cisco Systems Juniper Networks ALAXALA Networks 
Catalyst 6509 EX8216 AX6708S 

机 框 高 度 15RU 21RU 9RU 

最 大 线 卡 模块 插 档 数 8 16 8 

最 大 背 板 容量 1.4Tbit/s 12.4Tbit/s 1.15Tbit/s 

最 大 电力 消耗 最 大 8700W 最 大 15000W 最 大 4400W 

















中 在 M+N 的 元 余 结构 中 ,为 了 获得 M 台 设备 的 性 能 ， 


需要 使 用 NN 台 兄 余 系 统 。 例 如， 为 了 获得 100W 电力 供应 ， 如 


果 使 用 1+1 的 宛 余 结构 ， 则 需要 使 用 两 个 100W 电源 模块 ， 即 使 其 中 一 个 模块 发 生 故障 ， 另 外 一 个 也 能 保障 100W 的 
电力 供应 ; 在 N+1 宛 余 结 构 且 N=2 时 ， 就 需要 3 个 50W 电源 模块 ， 当 其 中 一 个 发 生 故 障 时 ， 剩 余 两 个 模块 能 够 保障 
100W 的 电源 供应 。 在 N+N 宛 余 结构 且 N=2 时 ， 需 要 使 用 4 个 50W 电源 模块 ， 每 两 块 成 对 使 用 ， 使 得 无 论 哪个 电 
源 发 生 故障 ， 都 有 另 一 电源 模块 对 接替 ， 从 而 保障 100W 电力 的 供应 。 

@ 例如 思科 公司 的 Catalyst 6500 系列 、Catalyst 4500 系列 以 及 Juniper Networks 公司 的 EX8200 系列 等 。 
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Cisco Systems 
Catalyst 6509 


Juniper Networks 
EX8216 


( 续 ) 
ALAXALA Networks 
AX6708S 





单 槽 交换 性 能 


80Gbit/s 


320Gbit/s 





单 台 机 框 所 支持 的 最 大 干 兆 端 





576 


768 























单 台 机 框 所 支持 的 最 大 万 兆 端 











130 





外 观 


画 中 端 L3 交换 机 





























中 端 L3 交换 机 一 般 为 箱 式 交换 机 或 最 大 捅 槽 数 为 4 的 机 框 式 (模块 式 ) 交换 机 ， 用 于 将 企 
业 核 心 交换 机 和 边缘 交换 机 进行 汇聚 交换 ， 价 格 在 100 万 ~500 万 日 元 左右 "。 


各 公司 中 端 L3 交换 机 的 性 能 比较 





Cisco Systems 


Juniper Networks EX4500 





ALAXALA Networks 

































































单 台 机 框 所 支持 的 最 大 万 兆 





Catalyst 4503 AX5404S 

机 框 高 度 7RU 2RU 6.5RU 
最 大 线 卡 模块 插 槽 数 2 N/A 4 
最 大 背 板 容量 64Gbit/s 480Gbit/s 48Gbit/s 
最 大 电力 消耗 最 大 6000W (每 个 线 卡 可 用 | 最 大 364W 1100W 

最 大 1500W 的 PoE ) 
单 台 机 框 所 支持 的 最 大 干 兆 | 96 48 192 
端口 数 

28 48 N/A 
































QD 其 中 的 代表 有 思科 公司 的 Catalyst 4500 系列 、Catalyst 4900 系列 ，juniper 公司 的 EX4500 系列 、EX4200 系列 ， 上 日 立 
电线 公司 的 Apresia 15000 系列 、Apresia 13200 系列 等 。 
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国 低 端 L3 交换 机 

低 端 13 交换 机 一 般 为 箱 式 交 换 机 或 桌面 式 交换 机 ， 作 为 企业 的 接 入 交换 机 (边缘 交换 机 ) 
使 用 ，1RU 大 小 的 设备 支持 24 端口 或 48 端口。 有些 产品 作为 IP 电话 或 无 线 LAN 的 访问 接 入 
点 ， 还 能 直接 使 用 来 自 以 太 网 的 电源 供电 (PoE )。 该 类 型 L3 交换 机 价格 约 几 万 日 元 至 100 万 
日 元 。 


人 ES 各 公司 低 端 L3 交换 机 产品 的 性 能 比较 











































































































Cisco Systems Catalyst 3750 Juniper Networks ALAXALA Networks 
( WS-C3750G-48TS-E ) EX2200-48P-4G AX3630S-48TW 
机 框 高 度 1RU 1RU 1RU 
最 大 背 板 容量 32Gbit/s 104Gbit/s 96Gbit/s 
最 大 电力 消耗 160W 91w ( 不 支持 PoE ) 134W 
405W (支持 PoE ) 

单 台 机 框 所 支持 的 最 大 干 兆 端口 数 | 48+4 48 48 
单 台 机 框 所 支持 的 最 大 万 兆 端口 数 | N/A 48 N/A 
42 Ei | ss 

















04.04 L3 交换 机 搭载 的 特殊 功能 


04.04.01 LL3 交换 机 功能 的 分 类 





尽管 各 制造 三 商 的 工 3 交换 机 产品 提供 了 的 功能 不 同 ， 但 这 些 功 能 大 致 可 以 分 为 如 表 4-11 所 
示 的 几 个 类 别 。 


村 DD L3 交换 机 的 功能 

































































































































































OSI 参考 模型 分 类 功能 
必用 技 认证 类 、 管 理 类 SNMP、RMON、syslog、DHCP、NetFlow、FTP、IEEE 802.1X 等 
网 络 层 、 传 输 层 路 由 选择 协议 静态 路 由 、RIPv1N2、OSPF、BGPv4、IS-IS、 多 播 路 由 选择 、RIPng、 
OSPFv3、BGP4+、 基 于 策略 的 路 由 选择 等 
QoS IEEE 802.1p、LLO、WFQ、RED、Shaping、 带 宽 控 制 等 
IP 隧道 IPv4 over IPv6、IPv6 over IPv4 等 
其 他 过 滤 、 负 载 均衡 、VRRP 等 
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( 续 ) 
0SI 参考 模型 分 类 功能 
数据 链 路 层 VLAN 端口 VLAN、IEEE802.10 (tag VLAN )、Protocol VLAN、 私 有 VLAN、 
Uplink-VLAN 等 
STP STP (IEEE 802.1D )、RSTP (IEEE 802.1w )、 PVST+、 MSTP (IEEE 
802.1s ) 等 














STP、SNMP、RMON、NetFlow 等 相关 内 容 请 参考 本 书 02.08 节 ，QoS 相关 内 容 请 参考 
03.06 节 。 

在 1L3 交换 机 中 ， 只 有 使 用 这 些 功 能 对 分 组 进行 的 管理 是 由 CPU (软件 ) 直接 处 理 的 。 用 户 
之 间 的 通信 均 如 图 4-13 所 示 ， 是 由 ASIC ( 硬件 ) 处 理 实现 分 组 的 高 速 转发 的 。 





使 用 ASIC 完成 高 速 分 组 转发 


软件 处 理 
ER |: 交 人 全 


分 组 管理 
BPDU (Bridge Protocol Data Unit) 

RIP/RIP2 (Routing Information Protocol) 人 NSS 
OSPF (Open Shortest Path First) 

DVMRP (Distance Vector Multicast Routing Protocol) | =——=> = 和 一 
PIM (Personal Information Manager) 




















L3 交 换 机 
种类 | 
单 播 转发 
多 播 转发 
过 滤 处 理 一 一 > 
队列 处 理 一 < 人 > <> 
端口 镜像 


























04.04.02 VLAN 


由 1 人 台 或 者 多 台 交 换 集 线 融 所 组 成 的 1 个 广播 域 可 以 称 为 是 一 个 局 平 网 络 ( flat network )。 
该 网 络 只 由 L2 组 成 ， 相 互 连 接 的 硬件 会 接收 所 有 网 络 发 来 的 广播 帧 。 因 此 ， 随 着 连接 硬件 数量 
的 增加 ,广播 数量 也 会 增加 ， 网 络 状况 也 就 越发 混杂 。 

这 种 情况 下 就 需要 采用 能 够 将 整个 扁平 网 络 进 行 逻辑 分 段 的 VLAN ( Virtual LAN ) 技术 。 各 
个 VLAN 均 使 用 同 1 个 广播 域 ， 因 此 能 够 控制 该 域内 广播 通信 的 规模 。( 图 4-14 ) 

交换 机 通过 设置 ( configuration ) 能 够 轻易 更 改 物理 端口 的 属性 ， 使 该 物理 端口 附加 到 某 个 








图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


04.04 L3 交换 机 搭载 的 特殊 功能 | 223 


VLAN 之 中 ,因此 当 连 接 交 换 机 的 用 户 终端 发 生变 化 时 ， 也 无 需 更 改 所 对 应 的 物理 配 线 。 
VLAN 之 间 的 通信 需要 使 用 路 由 选择 ， 不 借助 路 由 絮 就 无 法 与 不 同 VLAN 的 终端 进行 通信 ， 
因此 安全 性 也 有 了 保障 。 
VLAN 在 1998 年 的 IEEE 802.1Q 中 完成 了 标准 化 。 





国 基于 端口 的 VLAN 

基于 端口 的 VLAN ( Port VLAN ) 是 指 在 1 台 交 换 机 上 完成 VLAN 构建 的 功能 。 

基于 端口 的 VLAN 是 在 交换 机 的 端口 上 设置 VLAN ID 信息 ,将 拥有 相同 VLAN ID 的 多 个 
端口 构成 一 个 VLAN。 符 合 IEEE 802.1Q 标准 的 交换 机 在 初始 状态 时 所 有 端口 默认 VLAN ID=1 
( 即 VLAN 1)， 但 是 使 用 者 能 够 对 任意 一 个 端口 进行 VLAN ID-2 的 设置 ， 从 而 使 该 端口 归属 


VLAN 2, 
该 交换 机 内 有 
1 个 广播 域 





LAN 与 VLAN 的 比较 


LAN 





| 该 交换 机 内 有 
| 1 个 广播 域 









」 该 交换 机 内 有 两 个 
广播 域 ( VLAN ) 





国 标签 VLAN ( IEEE 802.1Q ) 

当 需 要 跨越 多 个 交换 机 创建 VLAN 时 ， 一 般 会 用 到 使 用 中 继 端 口 (trunk port ) 的 标签 VLAN 
( tag VLAN )。 标 签 VLAN 通过 中 继 端 口 完 成 以 太 网 数据 帧 的 收发 ， 其 中 以 太 网 数据 帧 上 需 添 加 
4 字 节 IEEE 802.1Q 所 定义 的 首部 ( 即 VLAN 标签 信息 ) ( 图 4-15 )。 为 以 太 网 数据 帧 添加 标签 的 
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过 程 称 为 tagging。 当 tagging 完成 后 ， 以 太 网 数据 帧 的 最 大 长 度 将 从 1518 字 节 变 为 1522 字 节 ， 
因为 其 中 还 包含 了 12bit 的 VLAN ID 信息 ， 因 此 最 多 可 以 支持 的 VLAN 数 也 达到 了 4096 个 。 


本 ”使 用 标签 VLAN 时 的 以 太 网 数据 帧 格式 
( 没有 使 用 标签 时 的 IEEE 802.3 以 太 网 数据 帧 ) 

















7 位 1 6 6 2 46 ~1500 4 























7 位 1 .6 6 2 2 2 46 ~ 1500 4 


























一 一 一 一 一 1 | 被 添加 的 4 字 节 IEEE 802.1Q 首 

FL | yp 部 ( VLAN 标 签 信息 ) 

SFD， Start Frame Delimiter ( 帧 首 定 界 符 ) TPID: Tag Protocol Identifier ( 标签 协议 标识 ) 
TCL: Tag Control Information ( 标记 控制 信息 ) ”FCS: Frame Check Sequence ( 帧 校 验 序列 





在 以 太 网 中 ，TPID 的 值 为 0x8100。 如 果 发 送 源 地 址 后 面 的 值 不 是 0x8100， 那 么 该 域 则 不 表 
示 TPID 信息 ， 而 是 作为 “长 度 / 类 型 ” 数据 域 被 识别 。 顺 便 一 提 ， 当 “长 度 / 类 型 ” 数据 域 的 值 
在 0x05DC ( 10 进 制 数 为 1500 ) 以 下 时 ， 表示 该 以 太 网 数据 帧 的 长 度 ; 在 0x0600 以 上 时 ， 则 表示 









































该 以 太 网 数据 帧 的 类 型 。 表 示 以 太 网 数据 帧 类 型 的 值 分 别 是 : IPv4 为 0x0800，ARP 为 0x0806、 
IPv6 为 0x86DD 等 。 
一 些 不 支持 IEEE 802.1Q 的 交换 机 由 于 无 法 识别 TPID， 会 将 0x8100 的 值 视 作 以 太 网 帧 类 
型 ,但 是 由 于 不 存在 0x8100 类 型 的 数据 帧 ， 因 此 交换 机 会 将 其 作为 错误 帧 直接 丢弃 。 
IEEE802.1Q 标准 中 定义 的 首部 还 存在 一 个 数据 域 一 一 TCI， 该 数据 域 可 以 进一步 分 成 3 个 子 
数据 域 ( 表 4-12 )。 


6 村 本 BB TCI 数据 域 的 组 成 要 素 " 





























名 称 说 明 
PCP ( Priority Code Point ) 表示 在 IEEE 802.1Q 中 定义 的 数据 帧 优先 级 ， 最 低级 别 为 0 ( 0b000 )， 最 高 
级 别 为 7 ( 0b111 ) 
CFI ( Canonical Format Indicator )" 标准 MAC 地 址 时 该 数据 域 的 值 为 0， 非 标准 MAC 地 址 时 为 1。 在 以 太 网 中 ， 
































该 数据 域 的 值 多 为 0， 而 在 连接 令 牌 环 网 络 的 交换 机 中 ， 也 有 该 数据 域 值 为 1 
时 接收 数据 的 情况 

VID (VLAN Identifier ) 表示 数据 帧 所 属 的 VLAN 编号 。0 ( 0x000 ) 仅 用 于 识别 PCP 中 表示 的 优先 
级 ，4 而 095 ( 0xFFF ) 为 预 留 值 ， 因 此 用 户 可 用 的 数值 为 1 ( 0x001 ) ~4094 
( 0xFFE )， 共 4094 个 














~ 
















































































中 最 新 标准 已 将 该 域 修改 为 Drop Eligible Indicator (DED。 译 者 注 
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在 使 用 标签 VLAN 的 多 个 交换 机 之 间 进 行 转发 


VIAN 


\ | VLAN 数 据 帧 






















在 VLAN 标 签 中 设置 
| VID=20 后 进行 转发 | 






























VLAN10 


跨越 多 个 交换 机 的 VLAN 


- VLAN1、 VLAN4 ) 
= VLAN2、 VLAN3 VLAN4) 





























国 本 征 VLAN 

VLAN 编号 为 1 的 VLAN 通常 被 称 为 本 征 VLAN ( Native VLAN ) 或 管理 员 VLAN, 一 般 用 
于 管理 VLAN， 也 作为 初始 值 分 配给 交换 机 的 各 个 端口 。 本 征 VLAN 的 指定 或 变更 是 可 以 自 定 
义 的 , 但 基本 所 有 厂商 的 交换 机 都 默认 使 用 VLAN ID 为 1 的 VLAN 作为 本 征 VLAN。 在 定义 新 
VLAN 时 如 果 设 定 VLAN ID=1， 则 有 可 能 会 发 生 同 预期 端口 无 法 通信 的 情况 ， 因 此 最 好 使 用 2 
以 上 的 数值 作为 新 建 VLAN 的 ID。 


国 中 继 端 口 

使 用 标签 VLAN 向 其 他 交换 机 传递 VLAN 编导 时 ， 首 先 需要 设置 中 继 端 口 (trunk port )。 中 
继 端 口 也 被 称 为 “附带 标签 的 端口 "， 能 够 属于 多 个 VYLAN， 与 其 他 交换 机 进行 多 个 VLAN 的 数 
据 帧 收发 通信 。 两 台 交 换 机 中 继 端 口 之 间 的 链 路 则 称 为 中 继 链 路 ( trunk link )。 

与 中 继 端 口 和 中 继 链 路 相对 应 的 还 有 接 入 端口 (access port ) 和 接 和 人 链 路 ( access link ) 这 两 
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个 概念 。 接 入 端口 只 属于 1 个 VLAN， 接 和 人 链 路 也 仅 传 输 1 个 VLAN 数据 帧 (图 4-18 )。 
中 继 端 口 和 中 继 链 路 





使 用 接 入 链 路 在 交换 机 之 间 传 输 多 个 VLAN 数 据 的 方法 


VLAN10 
VLAN10 








VLAN30 VLAN30 


使 用 中 继 链 路 在 交换 机 之 间 传 输 多 个 VLAN 数 据 方法 





VLAN10 




















ee VLAN10 
ES 全 |) 
VL 


AN10、20、30 


VLAN20 





VLAN30 




















国 协议 VLAN 

参考 以 太 网 数据 帧 首部 的 数据 帧 类 型 ， 基 于 网 络 层 的 各 个 协议 来 定义 的 VLAN 称 为 协议 
VLAN ( Protocol VLAN )。 其 中 ， 数 据 帧 类 型 的 值 为 16bit，VLAN 能 够 识别 的 网 络 层 协 议 有 卫 、 
IPX、AppleTalk 等 。 

目前 ， 网 络 层 的 通信 基本 都 使 用 IP 协议 ， 因 此 协议 VLAN 变 得 没有 意义 ， 几 乎 已 不 再 使 
用 了 。 


国 上 行 VLAN 
上 行 VLAN (UplinkVLAN ) 是 由 ALAXALA 公司 的 交换 机 产品 提供 的 、 基 于 端口 VLAN 
的 功能 之 一 (图 4-19 )。 
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属于 VLAN 的 端口 可 以 分 为 上 行 端口 和 与 终端 相连 的 下 行 端口 ， 上 行 端口 之 间或 上 行 端口 
和 下 行 端口 之 间 可 以 进行 通信 ， 但 下 行 端口 之 间 则 无 法 进行 通信 。 








ED 

































































自 上 行 端口 的 广播 分 组 转发 至 所 有 端口 
上 行 端口 和 下 行 端口 之 间 可 以 进行 通信 
行 端口 之 间 无 法 进行 通信 








OOOO 











国 私有 VLAN 

私有 VLAN ( Private VLAN ) 也 可 以 记 为 PVLAN， 是 指 在 VLAN 内 部 再 构建 一 层 VLAN 的 
功能 (图 4-20 )， 因 此 也 可 以 称 为 多 层 VLAN。 

私有 VLAN 能 够 通过 进一步 分 割 广播 域 ( 子 网 )， 削 减 VLAN 内 部 的 广播 通信 流量 并 保障 通 
信 的 安全 性 。 例 如 ,在 酒店 、 公 寓 、 服 务 供 应 商 等 场所 灵活 使 用 该 功能 ， 就 能 够 控制 服务 器 或 网 
关 与 终端 的 连接 ， 使 不 同 终端 之 间 无 法 相互 通信 。 

如 表 4-13 所 示 ， 私 有 VLAN 由 主 VLAN (了 Primary VLAN ) 和 从 VLAN ( Secondary VLAN ) 
组 成 , 从 VLAN 与 1 个 主 VLAN 关联 。 
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EB》 私有 VLAN 的 组 成 要 素 
组 成 要 素 说 明 

主 VLAN (Primary VLAN ) 1 个 私有 VLAN 中 有 一 个 主 VLAN， VLAN 是 从 VLAN 的 父辈 VLAN 

从 VLAN 隔离 VLAN 从 分 配给 隔离 VLAN 的 交换 机 端口 上 经 过 的 通信 流量 将 流向 主 VLAN, 而 

( secondary VLAN ) | ( lsolated VLAN ) 从 VLAN 则 不 会 有 任何 流量 经 过 。 每 个 主 VLAN 可 以 指定 一 个 隔离 VLAN 
群体 VLAN 从 分 配给 群体 VLAN 的 交换 机 端口 上 经 过 的 通信 流量 会 同时 流向 主 VLAN 
( Community VLAN ) | 和 群体 VLAN 

使 用 私有 VLAN 的 物理 端口 可 以 设置 成 表 4-14 中 的 任何 一 个 模式 。 













































































人 EEC 使 用 私有 VLAN 的 物理 端口 模式 





端口 模式 类 型 

















说 明 











混合 模式 


( Promiscuous Mode ) 




















与 路 由 器 等 网 关 相 连接 的 交换 机 端 
































(上行 端口 ) 使 用 的 模式 。 该 模式 下 的 端 

















能 够 与 私有 VLAN 内 的 任何 一 个 端 





全 


互通 。 混 合 ( promiscuous ) 就 是 “通信 对 





方 任意 ”的 意思 






















































































主机 模式 ( Host Mode ) 隔离 VLAN 或 群体 VLAN 的 端口 使 用 的 模式 。 该 模式 下 的 端口 只 能 与 同一 群体 
VLAN 内 的 端口 或 混合 模式 端口 互通 
私有 VLAN 的 组 成 
主机 模式 
让 
- I 
群体 VLAN : 
; | 混合 模式 
va | i 
隔离 VLAN : 
A ee 1 
国 静态 VLAN 和 动态 VLAN 


















将 交换 机 的 端口 进行 VLAN 划分 的 过 程 称 为 “VLAN 成 员 划 分 ”。 
E 员 通过 输入 交换 机 命令 ， 将 一 个 交换 机 端口 固定 分 配给 某 个 VLAN， 这 种 VLAN 成 员 


管 -至 





划分 方式 称 为 静态 VLAN。 
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与 之 相对 地 ， 根 据 与 端口 相连 的 个 人 计算 机 或 用 户 信息 自动 分 配 端 口 至 某 个 VLAN 的 方式 
则 称 为 动态 VLAN 或 者 认证 VLAN。 具 体 而 言 ， 就 是 交换 机 根据 终端 的 MAC 地 址 来 分 配 ( 基于 
MAC 地 址 库 的 认证 ), 或 者 基于 IEEE 802.1X 的 认证 来 决定 该 端口 属于 何 种 VLAN。 而 且 在 动态 
VLAN 中 ， 网 络 上 的 个 人 计算 机 无 论 与 哪 台 交 换 机 相连 ， 都 能 固定 归属 于 同一 VLAN (图 4-21 )。 

有 些 厂商 通过 交换 机 内 部 的 数据 库 来 实现 基于 MAC 地 址 的 认证 ， 但 大 多 数 情况 下 动态 
VLAN 的 实现 都 需要 使 用 RADIUS 服务 器 。 

关于 IEEE 802.1X 认证 的 详细 内 容 请 参考 02.08 节 。 














如 区 要 齐 ” 动 态 VLAN 与 端口 认证 


认证 服务 器 ( RADIUS 服 务 器 ) 

















EF 信息 





















” “分 配 到 的 
VLAN-ID 





认证 方 ( 交换 机 ) 


认证 完成 庆 证 完 戌 认证 中 ”未 认证 泛 半 设 宇 交 涌 东方 训 分 
支持 | | 不 支持 | 支持 | | 支持 | 到 网 络 的 访客 VLAN 之 
S02 OO [202079 [202 中 ， 在 该 VLAN 中 可 以 


请 求 方 进行 受 限 的 VLAN 通 信 






























































认证 使 用 中 认证 完成 后 的 IEEE 802.1X 认 证 端口 ， 将 划分 至 特定 的 VLAN 中 
的 分 组 G@) 认证 完成 后 的 基于 MAC 地 址 的 认证 端口 ， 将 划分 至 特定 的 VLAN 中 
4 一 普通 分 组 (G) 正在 认证 的 IEEE 802.1X 认 证 端口 ， 只 能 与 RADIUS 服务 器 进行 认证 通信 
@ 没有 通过 认证 的 、 基 于 MAC 地 址 的 认证 端口 ， 与 任何 一 个 端口 都 无 法 通信 
〇 不 进行 认证 的 端 



















































































































































































国 VTP 与 1SL 

VTP (VLAN Trunking Protocol，VLAN 中 继 协 议 ) 是 思科 公司 的 独 有 协议 ， 在 拥有 大 量 交 
换 机 的 大 规模 网 络 中 ， 通 过 该 协议 各 交换 机 能 够 使 用 中 继 链 路 进行 VLAN 相关 信息 (VTP 通告 ) 
的 交互 ， 从 而 自动 完成 网 络 内 部 交换 机 中 VLAN 的 创建 、 删 除 和 更 新 等 工作 。 不 过 ,仍然 需要 
手动 设置 接 和 人 端口 。 VLAN 分 配 。 

另外 ， 思 科 公 司 还 研发 了 独 有 的 VLAN 识别 标识 ISL ( Inter-Switch Link， 交 换 机 间 链 路 )。 
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该 标识 使 用 与 IEEE 802.1Q 中 的 VLAN 标签 不 同 的 帧 格式 进行 VLAN 通信 数据 的 交互 ， 思 科 公 
司 的 交换 机 产品 Catalyst 1900 就 仅 文 持 ISL 而 不 支持 IEEE 802.1Q。 


ISL 数据 帧 


26 字 节 | 1~24.575 
原 数据 由 FCS 


DA TYPE|USERISA |LEN | AAAAO3| HSA |VLAN | BPDU IINDEX| RES 
(SNAP) 
24 15 


40bit 4 4 48 16 24 1 16 16 





























04.04.03 ”VLAN 环境 中 的 数据 流向 











假设 现在 主机 A 要 和 属于 同一 VLAN 的 主机 下 通过 运行 ping 命令 通信 。 

主机 A 的 用 户 在 命令 行 提示 符 处 输入 了 主机 FIP 地 址 或 主机 名 (域名 ) 的 ping 命令 ， 如 果 
输入 的 是 主机 名 ， 则 需要 通过 DNS 进行 主机 名 解析 ， 然 后 才能 获取 主机 下 的 了 P 地 址 。 

由 于 主机 A 同 主机 F 位 于 同一 网 段 (相同 广播 域 )， 因 此 主机 A 需要 知道 主机 E 的 MAC 地 
址 ， 这 时 主机 A 会 向 主机 下 发送 ARP 请 求 的 广播 。 

交换 机 1 接收 到 来 自主 机 A 的 ARP 请 求 消 息 后 ,在 MAC 地 址 表 中 记录 下 主机 A 的 信息 ， 
由 于 ARP 请 求 的 目的 地 MAC 地 址 为 广播 地 址 ， 因 此 交换 机 1 会 向 除 接收 端口 之 外 的 所 有 端口 
复制 该 数据 帧 并 进行 扩散 ( flooding ), 但 在 VLAN 环境 下 ， 只 有 和 主机 A 同属 一 个 VLAN 的 端 
口 会 被 扩散 到 。 

交换 机 2 接收 到 来 自主 机 A 的 ARP 请 求 后 , 在 MAC 地 址 表 中 记录 下 主机 A 的 信息 。 之 后 
与 交换 机 1 一样， 交换 机 2 也 会 向 除 接收 端口 之 外 的 、 所 有 同属 一 个 VLAN 的 端口 复制 该 数据 
帧 并 进行 扩散 ( flooding )。 

主机 下 接收 到 ARP 的 请 求 后 ， 向 主机 A 回复 ARP 的 响应 消息 。 这 时 交换 机 2 将 习 得 主机 F 
的 MAC 地 址 信息 ， 因 为 之 前 已 经 从 ARP 请 求 中 习 得 了 主机 A 的 MAC 地 址 信息 ， 因 此 ARP 响 
应 消息 将 直接 转发 到 端口 1 处 。 

交换 机 1 接受 ARP 响应 消息 后 ， 也 从 中 习 得 主机 F 的 MAC 地 址 ,综合 判断 所 有 习 得 的 信 
息 后 将 MAC 地 址 信息 转发 至 交换 机 的 端口 1 处 。 

由 于 主机 A 已 经 知道 目的 地 的 MAC 地 址 ， 因 此 利用 该 地 址 信息 问 主 机 下 发 送 ICMP echo 
消息 。 
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04.04.04 ”VLAN 之 间 的 路 由 选择 


国 L2 交换 机 

在 L2 交换 机 上 设置 了 多 个 VLAN 后 ， 单 台 交 换 机 就 无 法 在 不 同 的 VLAN 之 间 转 发 以 太 网 
数据 帧 。 

当 需 要 在 多 个 VLAN 之 间 转 发 数据 时 ， 一 般 会 使 用 中 继 链 路 连接 路 由 器 ， 通 过 路 由 器 进行 
VLAN 之 间 的 路 由 选择 。 


L2 交换 机 上 VLAN 之 间 的 路 由 选择 





























VLAN 之 间 的 
路 由 选择 
































SR 
和 VLAN20 
ss 
L2 交 换 机 
PC2 
时 于 VLAN10 属于 VLAN20 











国 L3 交换 机 
L3 交换 机 能 够 在 交换 机 内 部 直接 完成 VLAN 之 间 的 路 由 选择 。 


国 UDLD 

UDLD ( Uni-Directional Link Detection， 单 问 链 路 检测 ) 由 RFC5171 文档 公布 ， 是 思科 公司 
开发 的 L2 协议 ， 用 于 检测 在 发 送 (TX ) 或 接收 (RX ) 数据 时 线 缆 发 生 的 单 向 链 路 故障 。 由 于 传 
输 媒 介 无 论 是 光纤 还 是 双 绞 线 ， 以 太 网 都 会 通过 接收 方 和 发 送 方 两 边 的 物理 线 缆 来 传输 数据 ， 
此 线 缆 发 生 某 种 故障 造成 单 向 链 路 的 可 能 性 很 大 。 

一 且 发 生 单 向 链 路 故障 ， 无 论 端口 是 否 处 于 已 连接 的 状态 ， 都 会 造成 通信 一 方 的 交换 机 只 能 
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发 送 数 据 而 不 能 接收 数据 ， 男 一 方 则 只 能 接收 数据 而 不 能 发 送 数 据 的 状况 。 而 且 发 生 单 向 链 路 故 
障 时 ， 生 成 树 也 无 法 正常 工作 ， 位 于 转发 线路 上 的 数据 帧 也 会 被 丢弃 。 

交换 机 上 UDLD 生效 的 端口 如 果 根 据 UDLD 检测 出 了 链 路 发 生 的 单 向 故障 ， 就 能 够 及 时 关 
闭 端口 ， 修 正 网 络 上 的 不 良 运 行 状态 。 


单 向 链 路 发 生 故 障 的 概念 图 
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本 章 将 介绍 防火 墙 和 安全 设备 的 历史 、 产 品类 型 


帮助 读者 理解 安全 设备 性 能 的 考量 方法 与 相关 注意 






















































































另外 ， 本 章 还 会 介绍 TCP 连接 、UDP 等 传输 


以 及 IPSec、 使 用 SSL 的 VPN 等 相关 内 容 。 
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05.01 ”防火墙 是 怎样 的 网 络 硬件 





20 世纪 90 年 代 ， 随 着 互联 网 的 普及 ， 出 现 了 路 由 器 访问 控制 列表 无 法 抵御 的 攻击 和 非法 访 
问 等 一 系列 威胁 ， 因 此 出 现 了 针对 这 些 威胁 的 防范 策略 需求 。1992 年 OECD7 组 织 发 布 了 “信息 
系统 安全 指导 书 ”， 其 中 定义 了 为 构建 安全 网 络 体系 而 需要 遵循 的 CIA 基本 理念 。CIA 是 机 密 性 
( Confidentiality )、 完 整 性 ( Integrity )、 可 用 性 ( Availability ) 三 个 英文 单词 的 首 字母 组 合 ， 这 三 
个 方面 的 主要 威胁 及 其 对 策 如 表 5-1 所 示 。 


CIA 的 内 容 




































































CIA 条 目 威胁 的 种 类 | 对 策 使 用 的 技术 | 对 策 实 施 的 装置 说 明 
机 密 性 窃听 、 非 法 访 | 用 户 认 证 、 加 密 | 防 火 墙 、VPN、| 信息 的 机 密 性 是 指 只 允许 合法 用 户 访问 相关 
问 、 窃 取 等 IDS/IPS 等 信息 。 确 保 信 息 的 机 密 性 即 保证 信息 不 被 泄 
露 ， 设 立 防 止 非法 访问 等 保护 对 策 



































， 保 证 信息 的 完整 和 确切 ， 防 











完整 性 纂 改 、 冒 充 等 ”| 数据 认证 、 电 子 | 防 火 墙 、VPN、| 处 理 正 

































































甲 主 
签名 、 加 密 IDS/IPS 等 是 信息 被 复 改 
可 用 性 DoS 攻击 等 过 滤 、 宛 余 、 策 | 防火 墙 、 带 宽 控 | 确保 合法 用 户 能 够 访问 授权 的 信息 。 需 要 重 
略 制 装 置 等 视 服务 器 或 网 络 硬 件 的 运 维 ， 避 人 免 系统 出 现 
当 机 问 题 























防火 墙 硬件 作为 防范 装置 能 够 同时 实现 CIA 中 3 个 条 目的 相应 对 策 。 在 20 世纪 90 年 代 中 
期 ， 普 通 企业 一 般 都 会 在 网 关 (LAN 与 互联 网 的 边界 ) 中 设置 防火 墙 。 

防火 墙 ( Firewall ) 是 指 为 了 防止 发 生火 灾 时 ， 火 势 葛 延至 建筑 物 内 其 他 区 域 而 设置 的 、 由 防 
火 材质 ( 主要 是 石 辟 板 ) 铸 成 的 增 (图 5-1 )。 


防火 墙 示意 图 













































































防火 墙 











GD 经 济 合作 与 发 展 组 织 ， 全 称 为 Organization for Economic Co-operation and Development。 译 者 注 
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将 自 外 而 内 的 网 络 和 人 侵 行为 看 作 火灾 ,那么 防止 这 种 入侵 的 对 策 即 可 称 为 防火 墙 。 在 网 络 绪 
构图 中 经 党 也 使 用 “和 砖 墙 ”的 图 标 来 表示 防火 墙 ( 图 5-2 )。 


Windows 中 防火 墙 的 图 标 思科 公司 的 防火 墙 图 标 

















防火 墙 这 个 装置 原本 用 于 防范 外 部 网 络 ， 也 就 是 拥有 多 个 不 特定 用 户 的 公共 网 络 对 内 部 网 络 
(企业 的 Intranet ) 进行 的 DoS 攻击 或 不 法 访问 (Hacking， 黑 客 行为 ), 但 现在 也 开始 需要 防范 从 
内 部 网 络 向 互联 网 泄露 信息 或 将 内 部 网 络 作 为 攻击 跳板 等 行为 。 








05.02 ”防火 墙 是 如 何 诞生 的 


现在 的 防火 墙 是 作为 专用 设备 出 现在 网 络 中 的 ， 但 最 初 的 防火 墙 则 出 现在 1985 年 左右 ， 采 
用 分 组 过 滤 技 术 由 思科 公司 的 IOS 软件 实现 ， 是 路 由 器 的 一 个 功能 。 

不 久之 后 ，DEC 公司 和 AT&T 的 贝尔 实验 室 开始 了 防火 墙 的 相关 研究 工作 。 当 时 DEC 公司 
的 防火 墙 装置 是 将 配 有 两 个 接口 的 计算 机 同 外 部 网 络 ( 互联网) 和 内 部 网 络 ( Intranet ) 进行 连接 ， 
内 部 网 络 用 户 只 有 登录 该 计算 机 ( 网 关 ) 才能 完成 对 外 部 互联 网 的 访问 。 而 当时 AT&T 贝尔 实验 
室 的 防火 墙 装 置 则 是 属于 第 二 代 防 火 墙 技 术 的 电路 层 ( Circuit Level ) 防火 墙 (参考 05.04 节 )。 该 
装置 使 用 了 配 有 两 个 接口 的 、DEC 公司 的 VAX 计算 机 ， 内 部 网 络 用 户 必须 通过 该 计算 机 的 电路 
中 继 ， 才 能 完成 对 互联 网 的 访问 。 

随后 ， 从 1988 年 到 1990 年 ，DEC 公司 的 防火 墙 装 置 不 仅 需要 用 户 登 录 ， 还 添加 了 限制 非 
法 通信 的 功能 ( 称 为 screend )。 当 时 作为 限制 对 象 的 网 络 服务 有 USENET 新 闻 、FTP 、Telnet、 
邮件 等 。 在 这 之 后 ， 业 内 又 逐步 转向 开发 无 需 用 户 登 录 ， 单 纯 对 网 络 服务 进行 控制 的 防火 墙 产 
品 。 该 类 型 防火 墙 属于 第 三 代 防 火 墙 ， 即 应 用 层 防 火 墙 (也 称 为 代理 防火 墙 ) 另外 ， 这 一 时 期 
的 文献 中 也 记录 了 一 些 类 似 于 “确认 连接 建立 ”“ 人 允许 输入 响应 ” “在 IP 层面 保持 状态 ”等 功能 ， 
这 些 功 能 在 现在 的 状态 防火 墙 ( stateful firewall ) 中 都 保留 了 下 来 。 

DEC 公司 的 防火 墙 原本 常用 于 大 学 或 科研 机 构 ， 但 在 1991 年 ，DEC 公司 开始 面向 企业 销售 
名 为 DEC SEAL (Screening External Access Link ) 的 防火 墙 产 品 。 
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第 四 代 防 火 墙 即 分 组 过 滤 防 火 墙 的 早期 装置 








Visas 的 研发 工作 开始 于 1992 年 "。Visas 


也 成 为 1994 年 由 Check Point Software Technologies 公司 2 开发 的 商用 防火 墙 产品 Firewall-1 的 


原型 %。 


1996 年 ，Global 互联 网 Software Group 公司 “开始 研发 第 五 代 防 火 墙 ， 即 基于 内 核 代理 架构 





( kernel proxy architecture ) 的 防火 墙 。 第 二 年 ， 思 科 公 司 发 售 了 首 个 基于 内 核 代理 技术 的 防火 墙 























产品 Cisco Centri FirewallS。Cisco Centri Firewall 是 在 Windows NT 上 运行 的 软件 ， 





其 中 的 诸多 技 





术 被 后 来 思科 公司 的 防火 墙 设备 PIX Firewall 继承 ( Cisco Centri Firewall 在 1998 年 停止 销售 )。 
到 了 2000 年 左右 ， 随 着 宽带 网 络 的 普及 ， 越 来 越 多 的 企业 开始 使 用 VPN。 这 一 时 期 在 日 
本 ， 有 很 多 用 户 使 用 防火 墙 通过 FTTH 或 ADSL 线路 、 以 PPPoE 的 形式 构建 站 点 到 站 点 (site to 




















site ) 的 VPN。 














2004 年 ，UTM ( Unified Threat Management， 统 一 威胁 管理 ) 产品 发 布 ， 是 一 款 将 IDP/IPS 


( Deep Inspection， 深 度 检 测 )、 反 病毒 、 反 垃圾 邮件 ( anti-spam )、URL 过 滤 等 功能 
防火 墙 设备 产品 。 





列 、Check Point 公司 的 UTM-1 系列 以 及 思科 公司 的 ASA 系列 等 。 





成 在 一 起 的 


UTM 产品 包括 Juniper Networks 公司 的 SSG 系列 和 ISG 系列 、Fortinet 公司 ”的 FortiGate 系 


2007 年 ，Palo Alto Networks 公司 发 布 了 新 一 代 防 火 墙 ( NGFW，Next Generation Firewall )， 


























该 防火 增 不 再 基于 端口 而 是 基于 应 用 程序 来 执行 相关 的 安全 策略 。 新 一 代 防 火 墙 




















同样 配备 类 似 





UTM 的 基于 内 容 安 全 的 功能 ， 协 同 活 动 目 录 ( Active Directory ) 或 Web 认证 等 完成 用 户 识别 ， 








从 而 执行 并 非 基于 卫 地 址 ， 而 是 基于 用 户 名 、 群 组 名 的 安全 策略 。 
表 5-2 中 列 出 了 防火 墙 设备 与 安全 设备 的 发 展 历史 。 


防火 墙 设备 与 安全 设备 的 发 展 历史 











年 事件 





1984 年 Secure Computing 公司 成 立 ” 














1988 年 思科 公司 的 10S 8.3 开始 支持 访问 控制 列 于 











1991 年 SonicWall 公司 成 立 

















1992 年 OECD 制定 “信息 系统 安全 指南 ” 











该 项 目 是 由 美国 南 加 州 大 学 的 Bob Braden 和 Annette DeSchon 发 起 的 。 一 一 译 者 注 
一 家 以 色 列 公司 ， 成 立 于 1993 年 。 译 者 注 








头 产 品 Firewall-1。 译 者 注 

该 公司 于 1997 年 被 思科 公司 收购 。 译 者 注 
该 产品 是 思科 收购 Global 互联 网 Software Group 公司 后 发 布 的 。 
和 Net Screen 公司 一 样 ， 由 知名 硅谷 华人 创业 者 谢 青 创办 。 








译 者 注 


译 者 注 





日 日 四 昌 QO 
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该 公司 最 早 从 霍 尼 韦 尔 国际 公司 独立 出 来 ， 在 2008 年 被 迈克 菲 公 司 收 购 ， 而 迈克 菲 公司 则 被 英特尔 收购 。 


当时 Visas 仅仅 是 一 个 带 有 图 形 界 面 的 实验 室 原型 产品 ， 最 后 这 些 特 性 被 以 色 列 的 Check Point 公司 引入 ,成 为 其 拳 





译 者 注 
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年 事件 





1993 年 Check Point Software Technologies 公司 成 立 


1994 年 Network Translation 公司 开发 PIX 
记述 了 私有 地 址 相关 内 容 的 RFC1597 发 布 
Check Point Software Technologies 公司 开发 状态 检测 型 防火 墙 ( Firewall-1 ) 
Check Point Software Technologies 公司 发 布 VPN-1 产品 

ISS ( 互联 网 Security Systems ) 公 司 成 立 ( IDS/IPS 设备 产品 ) 

995 年 思科 公司 收购 Network Translation 公司 、 发 布 Cisco PIX Firewall 产品 

IPsec 版 本 1 以 RFC 文档 ( RFC1852 等 ) 形 式 发 布 
996 年 Watchguard technologies 公司 成 立 ( 防火 墙 产 品 )" 
997 年 NetScreen Technologies 公司 成 立 ( 防火 墙 产品 ) 
Nokia 公司 发 布 安装 有 Check Point Software Technologies 公司 VPN-1T/FireWall-1 产品 的 IP 系列 安全 设备 "。 
998 年 IPsec 版 本 2 以 RFC 文档 ( RFC2401 等 ) 形 式 发 布 
999 年 OneSecure 公司 成 立 (IDS/IPS 设备 产品 )“ 
TippingPoint 公司 成 立 ( IDS/IPS 设备 产品 )* 

TLS 版 本 1.0 以 RFC 文档 ( RFC2246 ) 形 式 发 布 
NetScreen Technologies 公司 发 布 NetScreen-5、NetScreen-10、NetScreen-100 










































































NetScreen NetScreen-5 

2000 年 ”| Fortinet 公司 成 立 ( 防火 墙 /JTM 设备 ) 

Neoteris 公司 成 立 ( SSL-VPN 设备 ) 

思科 公司 收购 Altiga Networks 公司 、 发 布 VPN 3000 系列 ( IPsec-VPN 远程 接 入 集中 设备 ) 产 品 
2002 年 OneSecure 公司 发 布 IDP 设备 ( IPS 产品 ) 














NetScreen Technologies 公司 收购 OneSecure 公司 
NetScreen Technologies 公司 发 布 NetScreen-200、NetScreen-5000 系列 产品 
Fortinet 公司 发 布 FortiGate 系列 产品 














2003 年 NetScreen Technologies 公司 收购 Neoteris 公司 
2004 年 Juniper Networks 公司 收购 NetScreen Technologies 公司 














业内 开始 使 用 UTM 这 一 术语 

2005 年 Palo Alto Networks 公司 成 立 

思科 公司 发 布 适 配 性 安全 产品 ASA ( Adaptive Security Appliance ) 系 列 
IPsec 版 本 3 以 RFC 文档 ( RFC4301 等 ) 形 式 发 布 

3Com 公司 收购 TippingPoint 公司 


























该 公司 中 文 名 称 为 沃 奇 卫士 。 译 者 注 

该 公司 由 知名 硅谷 华人 创业 者 谢 青 、 柯 岩 等 创办 。 译 者 注 
当时 的 诺基亚 公司 既 有 手机 产品 线 也 有 网 络 硬 件 产品 线 ， 甚 至 还 有 个 人 计算 机 产品 线 。 
该 公司 于 2002 年 被 NetScreen 收购 。 一 一 译 者 注 

该 公司 于 2005 年 被 3Com 收购 ， 后 3Com 又 于 2010 年 被 HP 收购 。 











译 者 注 





GOOOO 


译 者 注 
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事件 














2006 年 Cisco IOS 开始 支持 SSL VPN 功能 
Juniper Networks 公司 发 布 SSG 系列 产品 
Check Point Software Technologies 公司 发 布 UTM-1 系列 产品 











IBM 收购 ISS 公司 





2007 年 Palo Alto Networks 公司 发 布 PA 系列 产品 
思科 公司 收购 电子 邮件 安全 公司 IronPort 








2008 年 McAfee 公司 收购 Secure Computing 公司 
































2009 年 业内 开始 使 用 “新 一 代 防 火 墙 ”这 
Juniper Networks 发 布 SRX 系列 产品 
Check Point Software Technologies 公司 收购 Nokia 公司 的 安全 设备 








下 产品 线 


























有 业 部 \ 将 其 IP 系列 安全 产品 纳入 旗 














2010 年 Intel 公司 收购 McAfee 公司 








2012 年 Dell 公司 收购 SonicWall 公司 








05.03 ”防火 墙 如 何 分 类 


05.03.01 软件 型 防火 墙 


国 个 人 防火 墙 


个 人 防火 墙 运行 于 个 人 计算 机 上 ， 用 于 监控 个 人 计算 机 与 外 部 网 络 之 间 的 通信 信息 ， 主 要 功 





能 如 表 5-3 所 示 。 





在 Windows 操作 系统 中 集成 了 Windows 防火 墙 。 








一 般 拥 有 杀毒 软件 产品 的 厂商 会 以 综合 安全 软件 套件 的 形式 销售 个 人 防火 墙 ( 表 5-4 )。 


个 人 防火 墙 产品 的 功能 






















































































































































































确认 连接 请 求 向 用 户 确认 是 否 了 定 的 连接 请 求 

安全 日 志 根据 需 志 )， 记 录 计 算 机 正常 连接 与 错误 连接 的 信息 。 这 些 
记录 在 做 故障 分 析 时 会 起 到 很 大 作 

反 病 毒 ( 病毒 对 策 ) 功能 阻止 接收 到 计算 机 病毒 和 蠕虫 通信 

反 间 谍 软 件 ( 间谍 对 策 ) 功能 阻止 接收 到 来 自 于 以 犯罪 为 谍 软件 或 程序 的 通信 


























个 人 信息 保护 功能 设立 对 策 以 防止 个 人 信息 被 窃取 、 沪 


网 站 以 及 钓鱼 诈骗 等 
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主要 带 有 个 人 防火 墙 的 产品 
趋势 科技 公司 ( TRENDmicro ) | Virus Buster-Grand ( 面向 个 人 ) 























Virus Buster-Business Security ( 面向 企业 ) 




















赛 门 铁 克 公 司 ( Symantec ) Norton 360 
Norton 互联 网 Security 


迈克 菲 公 司 ( McAfee ) Total Protection 
互联 网 Security 


卡巴 斯 基 公 司 ( Kaspersky ) 互联 网 Security 


























Windows 防火 墙 例外 选项 卡 的 设置 ( Windows XP ) 
和 会 Windows 防火 墙 
千夫 “| 例外 | 高 级 
防火 墙 正在 帮助 保护 您 的 电脑 


Yindows 防火 墙 通过 阻止 未 授权 用 户 通过 Internet 或 网 络 访问 您 的 计算 
机 来 帮助 保护 计算 机 





> 户 防 淡 地 
此 设置 阻止 所 有 外 部 源 这 接 到 i 算 机 ， 除了 在 “例外 ”选项 卡 在 这 里 开启 防火 墙 
上 上 演 择 的 樟 外 。 


口 不 允许 例外 @) 
在 不 太 安 全 的 地 方 和 机 上 场 ) 连 : 
Yindows 防火墙 阻止 程序 时 个 
上 的 选择 将 被 知 略 。 


接 到 公共 网 络 时 请 选择 此 项 。 
会 通知 您 。 在 “例外 ” 尝 项 卡 


久 口 关闭 (下 推荐 ) @) 


避免 使 用 此 设置 。 关 闭 Windows 防火 墙 可 能 使 计算 机 更 容易 受 
5 


Windows 防火 墙 








瑟 Windows 防火 藻 
[党 规 | 例外 | 高 级 | 


Windows 防火 墙 正在 阻止 除 下 列 选 定 程序 和 服务 之 外 的 传 入 网 络 连 接 。 添 
加 例外 将 使 部 分 程序 更 好 地 工作 ,但 可 能 增加 安全 风险 。 


程序 和 服务 @) 
| 名 称 

F 话 通 
HomeShare 
NyIF2 Web Browser 没有 勾 选 的 应 程序 在 与 外 部 
re 浮 位 ff 人 和 会 : > 
update Ilicrosoft 基础 类 应 用 程序 通 信 时 ， 会 被 Windows 防 火 
口 Un? 框架 墙 拦 截 

加 宽带 拨号 客户 端 
加 网络 娱乐 内 容 平台 
文件 和 打印 机 共享 
| 口 远 程 协助 


陛 加 程序 &) .| 陛 加 注 口 0). ] [ 编辑 外 )..。 ] [。 山 除 

























































































四 Yindows 防火 墙 阻止 程序 时 通知 我 四) 


让 2 了 
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Windows 防火 墙 高 级 选项 卡 的 设置 ( Windows XP ) 
于 Windows 防火 区 


常规 | 例外 | 高 级 | 


网 络 连 接 设 置 1 


为 下 列 选 定 的 连接 启用 了 Windows pe 要 为 每 个 连接 单独 添加 例 
外 ， 请 选择 连接 ， 然 后 单 击 “ 设 置 ” 




































































回 1394 连接 | 
回 本 地 连接 
四 宽带 连接 
ie 
安全 日 志 记 录 2 
您 可 以 创建 用 于 疑难 解答 的 日 志文 件 。 
3 
通过 Internet 控制 消息 协议 ICMP) ,网 络 上 的 计 [设置 区 )... 
共享 错误 和 状态 信息 。 
默认 设置 4 
indows 防火 墙 设置 还 - 
才气 和 s 改写 污 设置 还 原 为 默认 状态 ， 还 原 为 默认 值 @) 
Windows 防火 墙 详细 选项 卡 的 设置 内 容 
设置 内 容 说 明 
@ 网 络 连 接 设 置 对 每 一 个 同 Internet 连接 的 网 络 接口 进行 访问 控制 配置 ， 配 置 内 容 包括 可 能 访问 本 地 















































计算 机 的 外 部 网 络 服务 或 1ICMP 等 。 这 里 的 网 络 服务 可 以 是 指 本 地 计算 机 对 外 提供 

FTP、Telnet、HTTP 等 服务 的 情况 ， 也 可 以 包括 本 地 计算 机 为 作为 远程 桌面 使 用 时 ， 

能 够 被 外 部 访问 的 各 个 目标 应 用 程序 

@ 安全 日 志 记录 通过 设置 该 项 ，Windows 防火 墙 能 够 记录 丢弃 的 分 组 日 志 以 及 连接 成 功 的 日 志 

©@ IcMP 以 计算 机 为 单位 ， 设 置 是 否 允 许 接收 ICMP 通信 ， 还 能 够 进行 Echo Request 接收 以 
及 Time Exceeded 发 送 等 ICMP 类 型 的 设置 。 在 “网 络 连 接 配置 ”中 ， 也 可 以 对 咎 

个 网 络 接口 进行 同样 的 设 

@ 默认 设置 还 原 Windows 防火 墙 的 默认 设置 

































































































































































































































































国 网 关 型 防火 墙 

在 计算 机 网 络 的 网 关中 设置 类 似 防火 增设 备 的 功能 ， 从 而 对 网 络 中 通信 流量 进行 策略 控制 ， 
这 种 类 型 的 防火 墙 即 为 网 关 型 防火 墙 。 

网 关 型 防火 墙 分 为 两 类 ， 一 类 是 在 Windows、Linux 等 通用 操作 系统 上 安装 并 运行 
FireWall-1 软件 的 软件 型 网 关 防 火 墙 ,一 类 是 使 用 专用 设备 的 硬件 型 网 关 防 火 墙 。 

个 人 防火 墙 主 要 监控 所 有 到 达 个 人 计算 机 的 通信 流量 ， 而 网 关 型 防火 墙 则 需要 监控 来 自 多 数 
不 特定 终端 设备 的 通信 流量 ， 并 在 它们 通过 网 关 时 实施 策略 控制 。 
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个 人 防火 墙 与 网 关 型 防火 墙 的 主要 区 别 
个 人 防火 墙 网 关 型 防火 墙 
安装 位 置 的 个 人 计算 机 上 Windows 或 Linux 等 服务 器 上 

网 络 上 的 位 置 终端 处 网 关 处 












































安全 监测 对 象 流入 终端 的 通信 ; 流 经 网 关 的 所 有 通信 流量 

















加 密 通 信 在 终端 上 解密 后 检 不 能 检查 ( 有 时 也 能 够 对 SSL 通信 等 进行 解密 ) 
压缩 文件 检查 解压 后 检查 对 解压 方式 、 解 压 级 别 有 限制 
对 附带 口令 文件 的 检查 | 输入 口令 后 解压 检查 不 能 检查 

























































































05.03.02 ”硬件 型 防火 墙 





硬件 型 防火 墙 是 指 通过 硬件 设备 实现 的 防火 墙 ， 外 形 同 路 由 器 形状 类 似 ， 但 网 络 接口 类 型 一 
般 只 支持 以 太 网 ， 包 括 10/100/1000BASE-T 的 RJ-45 以 及 支持 千 兆 以 太 网 、 万 兆 以 太 网 收发 器 的 
接口 模块 ( 表 5-7 )。 


全 89 主要 的 硬件 防火 墙 产 品 






































厂商 名 称 产品 名 称 照片 

思科 公司 ASA 系列 i 
ASA5540 

Juniper 公司 SSG 系列 

SRX 系列 

SSG20 
SRX210 

Check Point Software | Power-1 系列 

Technologies 公司 IP 安全 设备 系列 
IP1285 

Palo Alto Networks 公司 ”| PA 系列 

IS 

PA-5050 

Fortinet 公司 FortiGate 系列 ea 
FortiGate-300C 
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05.04 ”防火 墙 技术 类 型 


防火 墙 在 网 络 边 界 判断 允许 进行 的 通信 和 不 被 允许 的 通信 ， 作 为 其 判断 依据 的 技术 类 型 按 表 
5-8 的 顺序 逐步 演进 


ERE 雹 防火 墙 技术 类 型 的 演进 



























































防火 墙 技术 类 型 年 代 说 明 
分 组 过 滤 型 1988 年 属于 第 一 代 防 火 墙 技术 ， 在 尚 没有 专用 防火 墙 设备 时 ， 一 般 由 路 由 器 实现 该 
功能 
参考 网 络 上 传送 的 IP 分 组 首部 以 及 TCP/UDP 分 组 首部 ， 获 取 发 送 源 的 IP 地 址 



























































和 端口 号 ， 以 及 目的 地 的 IP 地 址 和 端口 号 ， 并 将 这 些 信 息 作 为 过 滤 条 件 ， 决 定 
是 否 将 该 分 组 转发 至 目的 地 网 络 
分 组 过 滤 的 执行 需要 设置 访问 控制 列表 。 访 问 控制 列表 也 可 以 称 为 安全 策略 ( 简 
称 策略 ) 或 安全 规则 ( 简称 规则 ) 

有 关 安 全 策略 的 详细 信息 请 参考 05.07 节 






























































































































































































































































































































































应 用 网 关 型 1989 年 属于 第 二 代 防 火 墙 技术 。 不 再 以 分 组 为 单位 进行 通信 过 滤 ， 而 是 由 网 络 中 既 存 
的 网 关 ( 防火 墙 ) 特 定 的 应 用 程序 会 话 
电路 层 网 关 型 1990 年 防火 墙 不 再 根据 IP 分 组 首部 和 TCP 分 组 首部 进行 过 滤 ， 而 是 在 传输 层 上 进行 连 
中 继 ( 第 四 层 代理 )， 具体 通过 SOCKS 协议 实现 
当 内 网 终端 连接 外 部 网 络 时 ， 将 会 针对 电路 层 网 关 建 立 TCP 连接 ， 从 而 在 网 关 








和 外 部 网 络 服务 器 之 间 建 立新 的 TCP 连接 
通过 使 用 电路 层 网 关 ， 无 需 在 策略 中 设置 安全 认证 端口 信息 和 NAT， 即 可 从 拥 
有 私有 地 址 的 内 网 终端 连接 至 外 部 网 络 
状态 检测 型 1993 年 动态 分 组 过 滤 的 一 种 ， 通 过 检测 TCP 的 连接 状态 阻挡 来 路 不 明 的 分 组 ， 英 文 缩 
写 为 SPl。 使 用 状态 分 组 检测 能 够 有 效 抵抗 下 面 这 些 类 型 的 攻击 
。 伪装 IP 地 址 或 者 端口 ， 发 送 附带 TCP 的 RST 或 FIN 标志 位 的 分 组 ， 随 意 中 止 
正常 通信 的 莉 
e 在 允许 通信 的 范围 内 发 送 附 带 TCP 的 ACK 标志 位 的 分 组 ， 从 而 入 侵 内 部 网 络 
。 在 FTP 通信 时 ， 无 论 是 否 建立 控制 连接 ， 都 会 创建 数据 连接 进而 入 侵 内 部 网 络 
新 一 代 防 火 墙 2007 年 不 仅 根据 端口 号 或 协议 号 识别 应 用 程序 ， 也 不 仅 根据 IP 地 址 识别 用 户 信息 
是 根据 上 述 所 有 信息 执行 安全 策略 来 进行 防御 。 例 如 ， 在 传统 的 防火 墙 中 会 记 
录 “ 人 允许 进行 10.1.1.1 的 IP 地 址 到 端口 80 的 通信 ”这 一 安全 策略 ， 但 在 新 一 代 
防火 墙 中 可 能 还 会 补充 记录 “人 允许 名 为 yamada 的 账户 与 Facebook 进行 通信 ” 
的 内 容 
网 络 路 径 上 只 要 有 防火 墙 ， 就 会 存在 不 少 为 了 回避 防火 墙 、 查 找 开 放 端 口 而 
发 的 端口 扫描 程序 ， 这 类 应 用 程序 无 法 通过 基于 端口 的 防火 墙 防御 。 另 外 ， 
HTTP 或 者 HTTPS 使 用 的 80 或 者 443 端口 也 会 被 各 种 各 样 的 应 用 程序 使 
综 上 所 述 ， 以 应 用 程序 为 单位 进行 通信 控制 非常 ， 因 此 诞生 了 新 一 代 防火 
墙 技术 
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国 代理 服务 器 

代理 服务 器 是 应 用 网 关 型 防火 墙 的 一 种 。 

在 Linux 所 使 用 的 代理 服务 器 中 ， 有 一 款 叫做 Squid 的 免费 软件 。 

代理 服务 器 的 硬件 设备 有 Blue Coat Systems 公司 开发 的 SG 系列 。 

另外 ， 还 有 一 些 应 用 了 代理 服务 器 功能 的 设备 产品 兼顾 了 网 关 型 防毒 功能 和 URL 过 波 功 能 
等 ( 如 趋势 科技 公司 的 IWSM、Digital Art 公司 的 D-SPA 系列 等 )。 














加 什么 是 代理 

例如 ，HTTP 代理 对 应 的 网 关 在 从 用 户 (客户 端 ) 处 收 到 HTTP 通信 请 求 后 ， 自 身 将 代替 客 
户 端 向 HTTP 服务 需 发 送 HTTP 通信 请 求 。 从 客户 端的 角度 来 看 ， 网 关 即 其 通信 终端 。 由 此 , 在 
客户 端 与 网 关 ， 网 关 与 HTTP 服务 器 之 间 分 别 生成 两 个 会 话 〈《 如 图 5-6 所 示 )。 如 果 像 这 样 网 关 
成 为 客户 端的 代理 ， 由 代理 和 真正 的 服务 器 之 间 进 行 通 信 的 话 ， 就 会 实现 以 下 情况 。 



































e 从 客户 端 收 到 的 请 求 或 从 服务 器 端 得 到 的 响应 会 在 应 用 层 进 行 检 查 ， 如 果 发 生 异 常 则 放弃 
通信 或 者 发 送出 错 信息 。 
e 由 于 网 关 是 会 话 的 起 点 ， 因 此 可 以 对 互联 网 上 的 外 部 服务 顺 隐 藏 客户 端的 卫 地 址 。 


代理 ( 应 用 层 网 关 ) 和 其 他 硬件 的 不 同 








和、 TCP 连接 
~ 
代理 中 介 
客户 端 PC 代理 服务 器 

















a 除了 应 用 网 关 型 之 外 的 防火 墙 Web 服务 可 
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加 BE 经 









由 代理 路 径 的 分 组 的 变化 














































































































































































































中 3 

发 送 源 的 地 ”发 送 源 目的 地 发 送 源 的 地 ”发 送 源 目的 地 

IP 地 址 ”IP 地 址 端口 号 端口 号 IP 地 址 IP 地 址 端口 号 端口 号 

客户 端 PC 向 代理 服务 器 发 送 目 的 地 端 Web 服务 器 从 代理 服务 器 处 接收 到 HTTP 

为 8080 的 HTTP 请 求 请 求 并 进行 处 理 ， 而 来 自 PC 客户 端的 
L3、L4 首部 信息 并 不 到 达 Web 服务 器 









































pe 代理 服务 器 Web 服务 器 


192.168.1.5 192.168.1.254 10.1.1.252 T1015 























(2) 代理 服务 器 向 端口 为 80 的 Web 服务 器 转发 客户 
端 PC 的 HTTP 请 求 











分 组 过 滤 型 的 防火 墙 以 所 有 使 用 IP 或 TCP/UDP 的 通信 为 对 象 ， 判 断 是 否 人 允许 通信 。 而 应 
用 网 关 型 的 防火 墙 仅 以 通过 网 关 的 应 用 程序 为 对 象 ， 具 体 而 言 就 是 将 FTP、HTTP 、Telnet、DNS 





等 作为 处 到 











对 象 的 应 用 程序 来 进行 判断 。 








与 在 传输 层 进行 数据 检查 的 分 组 过 滤 型 不 同 ， 应 用 网 关 型 防火 墙 在 应 用 层 进 行 数据 检查 ， 因 
此 处 理 速 度 相对 较 慢 。 


05.05 


防火 墙 功能 设备 网 络 接口 模式 的 种 类 如 表 5-9 所 示 。 有 些 功能 设备 在 一 个 机 框 内 能 组 合 出 多 
种 模式 , 但 是 只 能 使 用 其 中 的 一 种 接口 模式 。L1~L3 模式 如 图 5-8 所 示 ， 是 将 需要 防火 墙 控制 的 
链 路 进行 “ 串 行 ” 连接 ， 这 样 的 拓扑 结构 称 为 内 联 ( inline ) 连接 ， 英 语 为 on-a-stick， 所 以 防火 墙 





的 “品行 ” 
TAPY 


什么 是 防火 墙 的 网 络 接口 模式 


















































也 称 为 Firewall-on-a-stick， 如 果 是 路 由 器 的 “ 串 行 ” 则 称 为 Router-on-a-stick。 
模式 正如 图 5-9 所 示 ， 该 模式 仅 有 一 条 来 自 交 换 机 的 链 路 构成 ， 这 样 的 链 路 组 成 结构 


也 称 为 单 辟 ( one-arm 或 者 one-armed ) 拓扑 。 





中 这 里 的 TAP 是 指 能 够 提供 一 种 方式 访问 在 计算 机 网 络 之 间 流 动 的 数据 的 装置 。 





译 者 注 
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网 络 接口 模式 的 种 
接口 模式 说 明 

L3 模式 也 称 为 NAT 模式 ， 是 与 路 由 器 接口 一 样 拥有 IP 地 址 的 接口 。 在 进行 路 由 选择 、NAT 以 及 连接 IPSec- 
VPN 或 SSL-VPN 时 ， 必 须 使 用 L3 模式 的 接 
可 以 通过 网 络 管理 人 员 输 入 静态 配置 IP 地 址 ， 也 可 以 通过 PPPoE、DHCP 客户 端 动态 分 配 来 获取 接 
的 IP 地 址 。 在 L3 模式 下 进行 路 由 时 ， 需 要 使 用 虚拟 路 由 器 

L2 模式 也 称 为 透 传 模式 或 者 透明 模式 ( L2 透明 模式 )， 是 与 交换 机 接口 一 样 拥有 同样 MAC 地 址 、 可 进行 桥 # 
的 接口 。 进 行 IP 地 址 分 配 时 需要 使 用 VLAN 
L1 模式 也 称 为 虚拟 线 缆 模 式 。 把 两 对 儿 网 络 接口 组 成 一 组 ， 流 量 在 其 中 一 方 的 接口 上 输入 并 在 另 一 块 接口 处 
输出 。 该 模式 下 无 法 进行 路 由 和 桥接 
TAP 模式 与 交换 机 镜像 端口 ( SPAN 端口 ) 相 连接 的 模式 。 通 过 对 交换 机 转发 的 数据 帧 进行 复制 并 收集 ， 可 以 将 
通信 内 容 可 视 化 并 检测 恶意 软件 。 由 于 不 是 内 联结 构 ， 因 此 该 模式 无 法 阻止 那些 没有 必要 的 通信 过 程 



























































































































































































































































































































































































































































互联 网 互联 网 

































































a 四 
| | 请 TAP 模 式 的 接 
ty 





其 他 接口 





与 路 由 器 和 交换 机 一 样 ， 部 分 防火 墙 同样 可 以 设置 回环 接口 、VLAN 接口 ( 子 接口 ) 和 汇聚 
接口 (IEEE 802.3ad ) 等 (参考 表 3-12 )。 
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表 5-10 罗列 了 防火 墙 能 够 防范 的 威胁 。 
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防火 墙 能 够 防范 的 威胁 
威胁 种 类 说 明 
窃听 通过 窃听 网 络 数据 获取 信 卡 卡号 、 密 码 发 送 广 接送 方 
等 重要 信息 Eee 
将 网 站 主页 、 邮 件 等 通信 内 容 恶意 修 改 发 送 方 接收 方 
ms 





破坏 


等 破坏 系统 





通过 计算 机 病毒 或 DoS 攻 刘 
的 正常 工作 

















冒充 他 人 接收 邮件 、 对 通信 对 方 实施 多 
鱼 、 诈 骗 等 行为 














个 人 计算 机 或 服务 器 上 重要 的 个 人 信息 或 
































垃圾 邮件 



































文档 泄露 
RS 也 
攻击 跳板 作为 病毒 部 署 或 DoS 攻击 的 跳板 (中 发 送 方 接收 方 
继 处 ) 图 mn 加 
KR 
以 营利 为 目的 发 送 大 量 邮件 
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威胁 安全 的 人 


安全 威胁 一 般 分 为 人 为 因素 和 非 人 为 因素 〈 自然 灾害 等 )， 防 火 墙 面 临 的 威胁 一 般 来 自 于 人 
为 因素 。 表 5-11 列 出 了 安全 威胁 人 (攻击 者 ) 的 几 个 类 型 。 


安全 威胁 人 ( 攻击 者 ) 的 几 个 类 型 





































































































































































































































































































名 称 说 明 

黑客 ( hacker ) 经 常会 听 到 “被 黑客 入 侵 了 ”的 说 法 ， 但 实际 上 黑客 是 指 那些 对 计算 机 技术 了 如 指 掌 
而 并 非特 指 网 络 攻击 者 

破解 者 ( cracker ) 对 网 络 进行 非法 访问 、 窃 听信 息 、 自 改 等 行为 的 人 

进攻 者 (attacker ) 以 造成 系统 当 机 为 目的 、 对 系统 施展 DoS 等 攻击 的 人 

妨碍 者 发 送 大 量 垃圾 邮件 、 在 BBS 中 粘贴 大 量 广告 、 散 布 以 诽谤 为 目的 的 言论 或 发 布 大量 无 意义 
信息 的 人 

普通 尽管 不 会 有 主动 的 攻击 行为 ， 但 普通 用 户 会 在 不 知情 的 情况 下 使 用 了 被 病毒 、 蠕 虫 等 感染 的 
个 人 计算 机 ， 从 而 成 为 威胁 网 络 安全 的 对 象 

僵尸 ( bot ) 作为 攻击 跳板 的 终端 ， 经 常 被 植 入 带 有 攻击 程序 的 病毒 ， 遭 受 感染 的 终端 称 为 “僵尸 "， 
大 量 僵尸 程序 组 成 的 网 络 则 称 为 “僵尸 网 络 ” 
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05.07.01 会话 管 理 
国 会话 与 数据 流 
会 话 ( session ) et ate pon 
在 TCP 中 某 个 服务 器 与 客户 端 成 对 进行 通信 时 ， 会 完成 3 次 握手 来 确认 建立 1 个 TCP 连 
接 ， 在 从 连接 建立 开始 至 连接 ee i ( request ) 和 服务 需 进 行 应 答 


( response ) 这 一 交互 过 程 即 可 称 为 进行 了 1 个 会 话 。 
在 UDP 中 ， 客 户 端 与 服务 器 之 间 只 要 发 送 源 的 端口 和 目的 地 端口 的 配对 一 致 ， 随 后 的 一 系 























列 通信 均 可 以 称 为 会 话 。 
在 ICMP 中 ， 例 如 Echo 和 对 应 的 Echo reply 的 组 合 就 可 以 称 为 会 话 。 


一 个 会 话 存在 “客户 端 一 服务 器 ”( c2s 或 client to server ) 和 “服务 器 一 客户 端 ”(s2c 或 
server to client ) 两 个 数据 流 (flow )。 数 据 流 是 指 发 往 通 信 对 方 的 多 个 分 组 序列 。 
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1] 展示 了 HTTP 通信 中 的 数据 流 和 会 话 示 例 





客户 端 服务 器 
SYN > 
< syNrAcK 
ACK > 





HTTP request 


| 


HTTP reply 
二 | 


和 > 1 个 会 话 


FIN 
< HHN+ACK 





发 送 源 地 址 : :222 
的 地 址 : 1.1.1.1 
发 送 源 端口 : 80 
的 地 端口 : 11111 































































































c2s (client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 


加 TCP 连接 管理 

一 个 TCP 的 连接 需要 通过 3 次 握手 来 确认 建立 。 

最 初 由 客户 端 发 送 SYN 消息 ， 即 发 送 首部 中 SYN 比特 信息 设置 为 “1” 的 TCP 数据 段 。 
SYN 读 作 /sin/， 表 示 同 步 的 意思 ， 取 自 Synchronization 这 个 单词 的 前 三 个 字母 。SYN 相当 于 一 
个 开始 信和 号， 与 打 电 话 时 先 拨号 码 的 行为 类 似 。 

当 服 务 需 收 到 来 自 客户 端的 SYN 消息 后 ， 将 返回 表示 确认 的 ACK 消息 ， 同 时 也 会 发 送 一 个 
SYN 消息 至 客户 端 。ACK 表示 确认 的 意思 ， 取 自 Acknowledgement 这 个 单词 的 前 三 个 字母 。 

TCP 连接 使 用 端口 号 表示 不 同 的 网 络 服务 (应 用 程序 )。 例 如 ，HTTP 使 用 80 号 端口 ， 
TELNET 使 用 23 号 端口 。 提 供 HTTP 服务 的 服务 器 必须 接收 和 处 理 客户 端 发 送 至 80 号 端 
口 的 TCP 数据 段 。 能 够 处 理 分 组 的 状态 一 般 表示 为 listen 状态 (listen 意 为 “ 侦 听 ”， 也 称 为 


listening )。 
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客户 端 
CLOSED SYN ( Seq=100,Ack=0 ) 
沙 
RE SYN_SENT 
连接 建立 步骤 < SYN + ACK ( Seq=200,Ack=101 } 
ESTABLISHED ACK ( Seq=101,Ack=201 ) 
本 PSH+ 数 据 ( 5byte ) 
( Seq=101,Ack=201 ) 
附带 ACK 信 息 ACK+PSH+ 数 据 ( 64byte ) 
( Seq=201,Ack=106 ) 
数据 传输 时 保持 
数据 传输 步骤 < ESTABLISHED ACK+ PSH+ 数 据 ( 5byte ) 
状态 ( Seq=106,Ack=265 ) 
Ack 编 号 为 Seq 编 号 + 
数据 的 字 节 数 ACK+PSH+ 数 据 ( 64byte ) 
( Seq=265,Ack=111 ) 
NS 
人 
ESTABLISHED FIN 
y ( Seq=111,Ack=329 ) 
FIN_WAIT1 
SEC Ackc1121 
人 J eq=329,Ack= 
连接 终止 步骤 < FIN_WAIT2 
l ACK ( Seq=112,Ack=330 ) 
TIME_WAIT 
ACK 的 Ack 编 号 为 FIN+ 





~ CLOSE ACK 的 Seq 编 号 +1 





在 这 期 间 ( 1~4 分 钟 ) 内 ， 相 同 端 口 之 间 无 法 连接 


J 客户 端 发 送 SYN 标志 位 设置 为 On 的 TCP 数据 段 。 


05.07 防火墙 


建立 TCP 连 接 /数据 传输 /结束 步骤 















SYN+ACK 的 Ack 编 

号 为 SYN 的 Seq 编 

LISTEN | 号 +1，Seq 编 号 
| 一 一 客户 端 随机 生成 


山 
SYN_RCVD 




















ESTABLISHED 


Ack 编 号 为 Seq 编 号 + 
数据 的 字 节 数 


数据 传输 时 保持 
ESTABLISHED 


人 


FIN+ACK 的 Ack 编 号 为 
FIN 的 Seq 编 号 +1 


ESTABLISHED 


CLOSE_WAIT 
LAST_ACK 





CLOSED 
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@) 服务 器 接收 到 带 有 SYN 标志 位 的 消息 后 ,将 SYN 与 ACK 的 标志 位 设置 为 On， 并 设置 


Ack 编号 为 “发 送 方 的 Seqt+1” 后 进行 回复 。 











@) 客户 端 将 ACK 标志 位 设置 为 On, 将 Ack 编号 设置 为 “接收 的 Seq 编号 +1” 的 TCP 数据 


段 发 送 回 服务 器 ， 确 认 建 立 TCP 连接 。 








TCP 中 用 序列 号 ( sequence ) 来 表示 应 用 程序 数据 发 送 至 何 处 ，TCP 连接 所 使 用 的 初始 序列 


在 3 次 握手 的 过 程 中 确定 。 


序列 号 分 为 两 类 ， 一 类 用 于 从 客户 端 发 往 服务 器 端 ( c2s ) 的 上 行 TCP 数据 段 ， 另 一 类 用 于 
从 服务 器 端 发 往 客户 端 (s2c ) 的 下 行 TCP 数据 段 。 上 行 和 下 行 两 种 数据 流 在 建立 时 ， 各 自 使 用 


不 同 的 随机 数 作为 初始 序列 号 ISN ( Initial Sequence Number )。 


e SYN 检查 

















TCP 会 话 开 始 时 客户 端 必 会 发 送 一 个 SYN 消息 。 如 果 是 没有 附带 会 话 信息 (或 尚未 建 
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话 )， 即 非 SYN 消息 的 TCP 数据 段 到 达 防 火 墙 ， 防火墙 就 会 将 其 视 作 非 法 而 整个 丢弃 。 但 也 可 
以 根据 不 同 的 情形 ( 双 活 匈 余 或 会 话 超时 等 ) 关闭 ( OFF ) 防火 墙 的 这 个 功能 ， 使 不 带 有 会 话 信 
息 的 、 非 SYN 消息 的 TCP 数据 段 也 能 够 通过 防火 墙 。 








e ACK 检查 

在 根据 SYN Cookie (参考 表 5-27 ) 信息 防范 SYN Flood 攻击 时 ,通过 对 SYN-ACK 的 ACK 
消息 进行 检查 ， 能 够 确认 进行 中 的 3 次 握手 是 否 为 非法 尝试 。 
e 同一 数据 段 检 查 

终端 再 次 发 送 TCP 数据 段 时 ， 对 于 和 之 前 收 到 的 TCP 数据 段 含 有 相同 序列 号 或 数据 的 
TCP 数据 段 ， 可 以 指定 防火 墙 的 处 理 方式 ， 即 指定 是 使 用 新 接收 到 的 重复 数据 段 还 是 丢弃 该 重 
复数 据 段 。 
e 窗口 检查 

检查 TCP 首部 内 的 序列 号 和 滑动 窗口 大 小 (Window Size )， 拦 截 超过 滑动 窗口 容量 数据 的 序 
列 号 。 


。 数据 段 重组 
即使 各 数据 段 的 顺序 出 现 变 化 ，TCP 数据 段 也 能 根据 序列 号 调整 为 正确 顺序 。 在 防火 墙 进 
行 这 一 工作 ， ht 这 列 号 是 否 完整 。 












































国 会 话 建立 的 处 理 
防火 墙 按照 以 下 步 又 处 理 从 网 络 接口 接收 到 的 分 组 ， 从 而 完成 会 话 建立 。 








人 检索 会 话 表 ， 确 认 表 内 是 否 存在 相同 会 话 (车 存在 相同 会 话 ， 则 禁止 会 话 建立 的 后 续 
流程 )。 

@) 若 不 存在 相同 会 话 ， 则 检查 该 分 组 是 否 可 以 通过 L3 路 由 选择 或 L2 转发 来 输出 。 如 果 可 
以 输出 ， 确 定 对 应 的 网 络 输出 接口 和 目的 地 区 域 (者 不 能 输出 ， 则 丢弃 该 分 组 )。 

@ 分 组 转发 时 ， 如 果 目 的 地 址 需要 进行 NAT 则 先 完 成 NAT， 确 定 NAT 后 的 网 络 输出 接口 
和 目的 地 区 域 。 

根据 分 组 的 发 送 源 信息 (发送 源 网 络 接口 、 发 送 源 区 域 和 发 送 源 地 址 ) 以 及 经 过 @、@ 步 
又 后 得 到 的 目的 地 信息 (目的 地 网 络 接口 、 目 的 地 区 域 、 目 的 地 址 ) 进行 安全 策略 检查 ， 
发 现 有 符合 的 安全 策略 时 ， 则 根据 该 策略 ( 允许 通信 或 拒绝 通信 ) 决定 是 继续 转发 还 是 丢 
弃 分 组 。 如 果 没 有 符合 的 安全 策略 ， 则 根据 “默认 拒绝 ”的 设 定 丢 弃 该 分 组 。 

@) 当 分 组 被 允许 通信 时 ， 会话 表 中 就 会 生成 该 会 话 的 相关 信息 。 
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国 会 话 的 生存 时 间 
会 话 表 中 记录 的 会 话 信息 有 一 定 的 生存 时 间 。 会 话 建立 后 ， 如 果 在 一 定时 间 内 一 直 处 于 无 通 
信 状 态 ， 防 火 墙 将 会 判断 该 会 话 的 生存 时 间 已 到 ， 进 而 将 该 会 话 记录 项 从 会 话 表 内 删除 。 如 果 无 
条 件 地 任 由 会 话 记 录 留 在 会 话 表 中 ， 这 些 会 话 信 息 则 很 有 可 能 会 被 用 于 恶意 攻击 等 行为 。 另 外 ， 
由 于 会 话 表 的 记录 项 在 数量 上 也 有 一 定 的 限制 ， 因 此 长 期 保留 会 话 记录 也 会 导致 资源 的 长 期 占 
用 ， 从 而 影响 新 会 话 记 录 的 生成 。 

会 话 时 间 能 够 根据 TCP、UDP 或 其 他 卫 协议 的 不 同 分 别 进 行 设置 。 

对 于 TCP 而 言 ， 会 话 的 超时 时 间 一 般 为 30 分 钟 ~1 小 时 ，UDP 则 为 30 秒 左右 。 例 如 ， 某 
Telnet 会 话 通过 防火 墙 完成 了 连接 ， 若 在 1 个 小 时 内 没有 进行 任何 通信 ， 防 火 墙 会 自动 将 该 会 话 
记录 从 会 话 表 中 删除 。 此 后 ， 客 户 端 想 要 继续 该 Telnet 会 话 时 ， 也 会 被 防火 墙 拒绝 (图 5-12 )， 
因此 客户 端 需要 重新 建立 Telnet 会 话 。 会 话 生 存 时 间 的 调整 可 以 参考 本 书 07.04 节 。 




































































会 话 生 存 时 间 与 超时 的 概念 图 




























































































客户 端 防火 墙 服务 器 
SYN 二 > re Ezy 会 话 信息 在 
里 后 

RE SYN+ACK ”这 里 生成 
Telnet 

命令 Telnet 响 应 

会 话 生 存 时 间 35 
1 小 时 内 没有 进行 任何 通信 

Tenet| 会 话 消息 在 这 里 删除 

命令 es 

村 入 丢弃 非 SYN 消 息 的 TCP 数 据 段 

SYN | 必须 重新 完成 3 次 握 

ACK SYN+ACK 。 手 过 程 以 便 再 次 建立 
Telnet 会 话 

命令 


国 会 话 终止 处 理 
TCP 连接 一 般 通 过 下 面 的 步骤 终止 会 话 。 





J 客户 端 在 完成 收发 数据 后 ， 会 发 送 FIN 标志 位 设置 为 On 的 TCP 数据 段 (FIN )。 

@) 服务 器 接收 到 FIN 消息 后 ， 会 在 回复 消息 中 将 FIN 与 ACK 标志 位 设置 为 On， 并 将 Ack 

编号 设置 为 “接收 的 Seq 编号 +1”。 

@) 客户 端 同样 在 回复 的 TCP 消息 中 将 ACK 标志 位 设 为 On， 将 Ack 编号 设置 为 “接收 的 
Seq 编号 +1”， 连 接 就 此 结 
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@ 这 时 ， 客 户 端 会 进入 TIME_WAIT 的 TCP 状态 。 一 定时 间 后 本 次 连接 所 使 用 的 TCP 端 
口号 (来 自 客 户 端的 通信 发 送 源 端 口号 ) 将 会 禁用 。 这 一 时 间 段 称 为 2MSL ( Maximum 
Segment Lifetime，MSL 的 2 倍 )， 根 据 实现 的 不 同 ， 大 约 在 1 分 钟 到 几 分钟 之 间 不 等 。 























如 果 客 户 端 或 服务 器 在 确认 连接 建立 时 发 生 了 故障 ， 那 么 将 只 有 能 够 通信 的 一 方 进入 侦 听 
状态 ， 这 种 情形 称 为 半 侦 听 或 是 半 关 闭 。 如 果 这 时 通信 的 故障 方 从 故障 中 恢复 ， 并 接收 到 故障 前 
交互 的 TCP 数据 段 ， 便 会 向 通信 对 方 回复 一 条 TCP 响应 数据 段 ， 该 数据 段 中 RST 标志 位 设 为 
ON， 通过 这 条 响应 消息 强制 终止 TCP 连接 。 

终止 连接 有 时 会 通过 FIN 和 RST 两 个 标志 位 来 完成 ,不 过 当 防 火 墙 接 收 到 来 自 通 信 方 
的 FIN 或 RST 时， 还 可 以 启动 另 一 个 30 秒 左 右 的 定时 器 。 如 果 在 该 时 间 段 内 FIN 一 FIN- 
ACK 一 ACK 的 终止 过 程 仍 未 完成 ， 防 火 墙 中 的 会 话 表 项 会 被 强制 删除 (图 5-13 )。 


器 E 在 接收 SYN、FIN 消息 时 强制 删除 会 话 信息 的 时 机 
客户 端 防火 墙 服务 器 




















根据 SYN 信 息 生 成 会 话 信息 


> 
pe 








al 


手 结束 则 删除 会 话 信息 





人 SYN+ACK 








没有 收 到 FIN+ACK 消 息 则 删 
余 会 话 信息 
FIN+ACK 


| 





与 会 话 相关 的 定时 器 种 类 ( 以 Palo Alto Network 公司 的 PA 系列 产品 为 例 ) 



































与 会 话 相关 的 定时 器 种 类 默认 值 
会 话 生存 时 间 TCP : 3600 秒 
UDP : 30 秒 
IP : 30 秒 
ICMP : 6 秒 
接收 SYN 后 到 3 次 握手 结束 之 前 的 会 话 超 时 5 秒 
接收 到 FIN 或 RST 后 到 会 话 结束 之 前 的 会 话 超时 30 秒 
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加 UDP 数据 流 的 管理 

在 UDP 中 没有 像 TCP 这 样 的 3 次 握手 过 程 ， 客 户 端 和 服务 需 之 间 直 接 使 用 带 有 应 用 程序 分 
组 的 UDP 分 组 进行 交互 。 

UDP 数据 流 是 指 发 送 源 IP 地 址 、 发 送 源 端口 号 、 目 的 地 卫 地 址 和 目的 地 端口 号 这 4 个 参数 
都 相同 的 一 系列 UDP 分 组 (图 5-14 )。 








< DNS 通信 示例 
客户 端 服务 器 


未 
DNS 可 询 | 1 个 会 话 
query 响 应 























































































































































































































F: 10.1.1.1 发 送 源 地 址 : 10.1.1.236 
: 10.1.1.236 的 地 址 : 10.1.1.1 
: 23455 发 送 源 端 口 : 53 
: 53 的 地 端口 : 23455 
c2s ( client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 
从 10.1.1.1 地 址 向 10.1.1.236 地 址 的 53 号 端 从 10.1.1.236 地 址 向 10.1.1.1 地 址 发 送 DNS 
发 送 DNS 请 求 ( 开始 数据 流 ) 。 在 该 请 求 响应 消息 ， 既 存 的 会 话 信 息 进 行 
得 到 安全 策略 允许 的 前 提 下 ， 当 首 个 分 组 达 响应 ， 因 此 该 消息 无 需 经 过 安全 策略 检测 
到 服务 器 时 ， 防 火 墙 便 开始 生成 会 话 信息 即 可 通过 防火 墙 











DNS 和 SNMP 这 种 管理 类 应 用 程序 一 般 只 需 1 个 UDP 分 组 便 能 完成 1 个 数据 流程 。 
进行 音频 和 视频 数据 交互 的 RTP (Real Time Protocol )， 则 需要 通过 多 个 由 流 数 据 ( streaming 
data ) 构成 的 UDP 分 组 来 完成 1 个 数据 流 。 











加 管理 ICMP 和 IP 数据 流 

在 进行 ICMP 和 TCP/UDP 以 外 的 IP 通信 时 ， 由 于 不 存在 端口 号 这 个 概念 ， 因 此 需要 直接 根 
据 IP 首部 的 协议 号 来 生成 会 话 信息 。 

如 ICMP 中 的 Echo 消息 对 应 Echo Reply 消息 那样 ， 防 火 墙 需要 自动 识别 不 同 的 请 求 消 息 和 
与 之 对 应 响应 消息 ， 并 综合 判断 这 些 消 息 序列 是 否 属于 同一 个 会 话 (图 5-15 )。 
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ICMP 数据 流 与 会 话 











客户 端 服务 器 
Echo > 
Eelio 1 个 会 话 
reply 
DNS 查 询 > 
query 1 个 会 话 
向 应 





也 
的 地 址 : 10.1.1.1 































































































c2s (client to server ) 的 数据 流 s2c ( server to client ) 的 数据 流 


OO 


国 会 话 同步 

支持 会 话 同步 功能 的 防火 墙 能 够 对 宛 余 结构 中 ( HA 结构 了) 主 设备 和 副 设备 之 间 的 会 话 信息 
进行 同步 。 为 了 准确 地 同步 会 话 信息 ， 需 要 使 用 专用 的 HA 链 路 将 两 台 防 火 墙 连接 ， 然 后 在 该 链 
路 上 完成 会 话 信息 的 交互 。 

在 采用 了 主 备 方式 的 元 余 结 构 中 ， 活 跃 设 备 负责 建立 用 户 通 信 的 会 话 ， 并 将 会 话 信息 记录 在 
会 话 表 中 ， 同 时 还 会 将 信息 通过 HA 专用 链 路 转发 到 备用 设备 中 。 




















国 利用 会 话 数目 受 限 的 特性 

有 的 防火 墙 产 品 拥 有 限制 通过 防火 墙 会 话 数 目的 功能 ， 也 有 些 产 品 将 该 功能 作为 DogS 防御 
功能 的 一 部 分 提供 给 用 户 。 

防火 墙 可 以 以 TCP SYN、UDP、ICMP 以 及 其 他 卫 等 协议 为 单位 ， 通 过 指定 发 送 源 与 目的 
地 的 组 合 来 限制 该 类 会 话 的 数目 。 当 指定 的 发 送 源 为 ANY、 指 定 的 目的 地 址 为 某 特定 地 址 时 ， 
就 能 够 限制 该 服务 器 上 的 会 话 数目 ， 这 样 做 不 仅 可 以 控制 服务 器 的 负载 ， 还 可 以 防范 DoS 攻击 。 

另外， 限制 会 话 的 数目 就 相当 于 限制 了 防火 墙 内 会 话 表 中 会 话 记录 的 数 日 ， 这 也 能 够 在 一 定 
程度 上 提高 防火 墙 的 性 能 。 

















05.07.02 分 组 结构 解析 


为 了 防止 非法 分 组 的 流入 和 流出 ， 防 火 增 会 对 分 组 的 首部 和 有 效 载 集 进行 结构 解析 ,解析 的 
主要 项 目 如 下 所 示 。 





中 ” 指 高 可 用 性 ( High Availability ) 结 构 。 





译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


05.07 ”防火 墙 中 搭载 的 各 种 功能 | 255 





国 IP 首部 解析 
IPv4 首部 格式 如 图 5-16 所 示 ， 其 中 成 为 防火 墙 解析 对 象 的 部 分 如 表 5-13 所 示 。 


区 加 IPv4 首部 


0 3 4 了 .局 1516 31 






























































T T T T 


目的 地 IP 地 址 








_ 可 选 部 分 {Sas 长 度 可 变 、 最 小 为 Obyte ) 


后 续 部 分 为 用 户 数 据 








| 1 
T T T T T T T T T T T T T T 











以 太 网 数据 帧 和 IPv4 首部 的 解析 内 容 

以 太 网 类 型 与 IP 版 本 确认 以 太 网 数据 帧 首部 上 的 Type 域 为 0x0800 时 表示 IPv4， 此 时 IP 首部 上 的 版 
本 信息 也 为 4。 该 域 为 0x86DD 则 表示 IPv6，IP 首部 上 的 版 本 信息 也 为 6 
IP 首部 确认 必 备 数据 域 是 否 完整 ， 并 验证 其 中 的 分 组 长 度 是 否 与 实际 长 度 一 至 
IP 协议 号 、TTL 验证 该 字段 是 否 为 0， 如 果 为 0 则 丢弃 该 分 组 
发 送 源 地 址 、 目 的 地 址 认 是 否 存在 Land 攻击 ” 
总 数据 长 度 定 是 否 存 在 Ping of Death 攻 刘 
标志 位 、 分 片 偏 移 丢弃 无 法 进行 分 片 的 分 组 。 
可 选 数据 域 在 无 用 可 选 数据 域 的 分 组 。 



























































































































































国 TCP 首部 解析 
TCP 首部 格式 如 图 5-17 所 示 ， 其 中 成 为 防火 墙 解析 对 象 的 部 分 如 表 5-14 所 示 。 





中 一 种 使 用 相同 的 发 送 源 、 目 的 主机 和 端口 发 送 分 组 到 某 台 机 器 的 攻击 ， 会 使 存在 漏洞 的 机 器 崩溃 。 译 者 注 
@ 一 种 拒绝 服务 的 攻击 ， 具 体 做 法 是 攻击 者 故意 发 送 大 于 65535 字 节 的 卫 分 组 给 接收 方 。 译 者 注 
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Ea 和 TCP 首部 
0 1516 31 




















目的 地 端口 











序列 号 


ACK ( Acknow ledge ) 编号 
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校 验 和 























尺寸 




















紧急 指针 
可 选 + 填充 部 分 ( 32bit、 长 度 可 变 、 最 小 为 Obyte ) 


1 1 1 i 1 1 1 1 h Es 1 
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TCP 首部 的 解析 内 容 


























































































































TCP 首部 确认 必 备 数据 域 是 否 完整 、 是 否 被 中 途 截 断 

数据 偏 移 确认 表示 TCP 首部 长 度 的 Data Offset 数据 域 的 值 是 否 为 5 以 下 (TCP 首部 长 度 最 小 
为 5 字符 =20 字 节 

校 验 和 确认 是 否 有 校 验 和 错误 

端口 号 确认 发 送 源 的 端口 号 以 及 目的 地 端口 号 是 否 为 0 

TCP 标志 位 检查 SYN、ACK 等 TCP 首部 内 的 标志 位 是 否 存在 组 合 不 正确 的 情况 








国 UDP 首部 解析 
UDP 首部 解析 的 对 象 如 表 5-15 所 示 。 


UDP 首部 的 解析 内 容 














UDP 首部 确认 必 备 数据 域 是 否 完整 、 是 否 被 中 途 截 断 
校 验 和 确认 是 否 有 校 验 和 错误 











05.07.03 ”安全 区 域 








大 多 数 的 防火 墙 中 都 有 安全 区 域 ( Security Zone， 简称 为 区 域 ) 的 概念 ， 即 将 防火 墙 上 物理 
接口 以 及 逻辑 接口 分 配 至 不 同 的 区 域 中 ， 也 就 是 将 与 防火 墙 连接 的 网 段 分 别 划分 到 不 同 的 区 域 
中 。 其 中 ,一 个 网 络 接口 不 能 属于 多 个 区 域 (图 5-18 )。 

在 同一 区 域内 可 以 自由 进行 基本 通信 ,但 跨 区 域 的 通信 必须 符合 安全 策略 才能 完成 。 防 火 墙 
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也 能 够 通过 安全 策略 设置 发 送 源 或 发 送 目 的 地 等 条 件 ， 根 据 是 否 符合 这 些 条 件 来 判断 位 于 同一 区 
域内 的 通信 和 是 否 可 行 。 


区 域 划分 示例 





Sales 区 域 













Untrust 区 


互联 网 





loopback1 
Ethernet1/5 








DMZ 区 域 





区 域名 称 所 分 配 的 网 络 接口 ( 举例 ) 








Trust Ethernet1/1、tunnel1、loopback1 可 信赖 的 公司 内 部 网 络 区 域 。 一 














Untrust Ethernet1/2 公司 外 部 ( 互联 网 ) 网 络 区 域 。 
DMZ Ethernet1/5 名 外 部 公开 的 服务 器 所 使 


Sales Ethernet1/3 有 和 销售 部 门 员 工 才 能 访 让 
新 区 域 




















































































































国 信任 区 域 
公司 内 部 网 络 等 ， 需 要 由 组 织 内 的 防火 墙 来 保护 的 网 络 一 般 称 为 信任 区 域 (trusted zone ) 或 
内 部 区 域 ， 意思 就 是 “被 信赖 的 区 域 ”。 


国 不 信任 区 域 

与 信任 区 域 相对 的 是 外 部 网 络 ， 如 互联 网 等 ， 一 般 被 称 为 不 信任 区 域 (Untrust Zone ) 或 外 部 
区 域 。 不 信任 区 域 的 意思 就 是 “不 被 信赖 的 区 域 ”。 

支持 区 域 划分 的 防火 墙 可 以 根据 默认 的 安全 策略 仅 执行 默认 拦截 操作 ， 也 可 以 根据 安全 策略 
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完成 从 信任 区 域 到 不 信任 区 域 的 通信 。 


国 DMZ 

DMZ 的 意思 是 非 武装 区 域 ( DeMilitarized Zone )， 网 络 中 的 DMZ 是 指 由 防火 墙 划 分 的 、 放 
置 了 对 外 公开 服务 器 的 网 段 ,， 该 区 域 与 内 部 网 络 是 分 离开 的 。 

为 了 防止 受到 攻击 ， 从 外 部 网 络 访问 内 部 网 络 的 通信 一 般 都 会 被 防火 墙 拦截 ， 但 是 服务 器 中 
还 存在 Web 服务 顺 这 类 对 外 公开 的 服务 咒 ， 对 于 这 类 服务 器 的 访问 就 不 能 一 味 地 拦截 了 。 但 如 
果 将 这 类 服务 器 放置 在 内 部 网 络 中 ， 一旦 遭 到 外 部 网 络 用 户 的 恶意 入 侵 , 便 会 导致 拥有 重要 数据 
的 内 部 网 络 对 外 敞开 大 门 。 

因此 ， 将 需要 对 外 公开 的 服务 器 放置 在 DMZ 中 ， 即 使 该 服务 器 遭 到 入 侵 ， 外 部 网 络 也 无 法 
直接 从 该 区 域 直 接 访问 内 部 网 络 。 
























































国 自 定义 区 域 

虽然 信任 区 域 、 不 信任 区 域 、DMZ 在 防火 墙 中 常 被 使 用 ,但 区 域 也 能 够 根据 其 具体 内 容 、 
ee ee 管理 的 目的 自 定 义 名 称 ， 如 “人 事 部 区 域 ”或 “销售 部 区 域 ”等 ， 
这 些 由 管理 员 重 新 划分 并 自命 名 的 区 域 成 为 自 定 义 区 域 (Custom Zone )。 








05.07.04 ”安全 策略 

















防火 墙 的 主要 功能 是 访问 控制 ， 即 判断 是 否 允 许 特 定 发 送 源 与 特定 目的 地 之 间 进 行 特 定 的 通 
言 。 访 问 控制 通过 设置 “规则 ”来 实现 ， 每 一 条 规则 都 指定 了 需要 控制 的 发 送 源 、 目 的 地 以 及 通 
信 内 容 等 信息 。 在 路 由 器 中 ， 这 类 访问 控制 的 规则 集合 称 为 “访问 控制 列表 "， 而 在 防火 墙 中 则 
一 般 称 为 “安全 策略 ”或 “安全 规则 。 






































国 路 由 器 的 访问 控制 列表 

访问 控制 列表 以 行为 单位 定义 规则 ， 一 般 一 个 规则 整体 会 使 用 多 行 来 定义 ， 每 一 行 的 规则 称 
为 “ 表 项 ”。 

一 个 表 项 一 般 由 触发 对 象 (trigger object )、 行 为 (action )、 可 选项 ( option ) 这 3 个 要 素 

组 成 。 

例如 ， 以 Cisco IOS 中 为 标准 的 访问 控制 列表 表 项 只 允许 发 送 源 IP 地 址 作为 触发 对 象 ， 而 行 
为 则 是 在 也 只 许可 ( permit ) 和 拒绝 ( deny ) 之 间 二 选 一 。 

扩展 后 的 访问 控制 列表 可 以 将 下 面 这 些 参数 作为 触发 对 象 。 
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P 协议 号 、 发 送 源 IP 地 址 、 
的 地 TCP/UDP 端 



































的 地 IP 地 址 、ToS 数据 域 、ICMP 


号 、TCP 会 话 是 否 已 经 建立 


ICMP 代码 、ICMP 消息 、 发 送 源 TCP/UDP 端 











访问 控制 列表 表 项 中 的 可 选项 表示 当 满 足 条 件 (触发 对 象 ) 时 ， 可 以 指定 “记录 日 志 ” 或 


“ 表 项 有 效 时 间 段 ”等 操作 。 如 果 使 用 了 有 效 时 间 段 选项 ， 





对 象 的 访问 控制 列表 表 项 。 
例如 ， 人 允许 从 卫 地 址 为 10.1.1.2 的 客户 端 向 IP 地址 为 172.16.1.1 的 服务 器 进行 Telnet 连接 





(TCP 端口 为 23 ) 时 ， 访 问 控 





出 列表 如 下 所 示 。 


就 能 够 设置 一 个 只 以 公司 上 班 时 间 为 


access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet 


人 9 Cisco IOS 中 扩展 访问 控制 列表 的 命令 


人 注 1 
命令 





access-list access-/'st-number [dynamic dqynamic-name [timeout minutes]] {deny | permit} protoco!/ source 
source-wildcard destination destination-wildcard [precedence precedence!l [tos tos] [log | log-input] [time- 
range time-range-name!] 





[precedence precedencel 


access-list access-/ist-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source 
Source-wildcard destination destination-wildcard licmp-type | llicmp-type icmp-codel | licmp-message]] 


tos tos] [log | log-input] [time-range time-range-name!] 





[precedence precedencel 


access-list access-/ist-number [dynamic dynamic-name [timeout minutesl]] {deny | permit} tcp source 
Source-wildcard [loperator [portl] destination destination-wildcard [operator [portl] [established] 
tos tos] [log | log-input] [time-range time-range-name!] 








access.-list access-//st-nu 


precedence] [tos tos] [log 





注 1: 粗 体 字 表 示 关 键 字 ,斜体 字 表 示 可 选项 。 


Cisco IOS 中 访问 控制 列表 命令 参数 一 


Ea 


mber [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source 
Source-wildcard [operator [portl] destination destination-wildcard [operator [portl] [precedence 
log-input] [time-range time-range-name] 








参数 


说 明 





access-list-number 








访问 控制 列表 编号 。 扩 





展 ACL 时 ， 可 以 








100 到 199 (或 从 2000 到 2599 ) 之 间 的 值 














dynamic dqynamic- 
name [timeout 
minutes] 

















为 10 分 钟 ， 即 会 话 如 果 在 10 分 钟 内 没有 进行 任何 通 
































如 果 是 “timeout 10"， 表 示 空 闲 超 时 时 间 
信 就 将 该 会 话 之 后 的 通信 拦截 。 如 果 使 
然 有 效 














dynamic 关键 字 ， 则 表示 通信 开始 10 分 钟 后 会 话 仍 





{deny | permit} 





指定 拒绝 ( deny ) 或 接受 ( permit ) 
























































protoco/ 旨 定 IP 首部 内 表示 协议 号 的 数值 。 对 于 ICMP、TCP、UDP 等 可 以 使 用 icmp、tcp、udp 等 文字 
序列 作为 关键 字 
SOUrce 指定 发 送 源 地 址 。 在 source 部 分 指定 网 络 地 址 ， 并 可 以 于 source-wildcard 处 指定 掩 码 取 反 的 


source-wildcard 








通配符 











“any” 表 示 所 有 发 送 源 地 址 


上 





例 :“10.1.1.0 0.0.0.255” 表 示 10.1.1.0/24 的 地 址 
“host 10.1.1.1” 表 示 10.1.1.1/32 的 地 志 
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参数 尘 : 说 明 
destination 表示 发 送 目的 地 的 地 址 。 在 destination 部 分 指定 网 络 地 址 ， 并 可 以 于 source-wildcard 处 指定 掩 
destination-wildcard | 码 取 反 的 通配符 
例 :“10.1.1.0 0.0.0.255” 表 示 10.1.1.0/24 的 地 韦 
“host 10.1.1.1” 表 示 10.1.1.1/32 的 地 址 
“any” 表 示 所 有 目的 地 址 
lcmp-type | [emp- | 指定 ICMP 的 类 型 或 代码 
type icmp-code] | 例 :“8” 表 示 Echo Request ( ICMP Type 8 ) 
[cmp-mmessa9e]] “30” 表 示 Destination Unreachable ( ICMP Type 3 的 Code 0 ) 
“echo-replay” 表 示 Echo Replay ( ICMP Type 0 


































































































[operator lport]] 如 果 记 述 于 “source source-wildcard” 之 后 ， 指 定 的 是 发 送 源 端口 ， 记 述 于 “destination 
destination-wildcard” 之 后 则 指定 的 是 目的 地 端口 。 “port” 部 分 可 以 填写 端口 编号 或 “ftp” 这 
种 应 用 程序 文字 列 。"operator” 部 分 可 以 指定 “lt ( 小于、“gt (大 于 )、“eq (等 于 “neq 
(不 等 于 、“range ( 包含 范围 ”中 任意 一 个 类 型 
例 :“eq 23” 表 示 当 端口 号 等 于 23 时 的 情况 

“gt 1023” 表 示 端 口号 大 于 1023 时 的 情况 
[established] 表示 TCP 会 话 的 建立 过 程 已 经 完成 ， 即 在 收 到 SYN 消息 实 消息 会 携带 ACK 或 
RST 比特 位 相 一 致 的 分 节 数 据 

[precedence 指定 IP 首部 内 IP precedence 的 值 。 该 值 可 以 是 从 0 到 7 的 数字 ， 也 可 以 是 文字 序列 。 例 : 
precedencel] “precedence 0” 表 示 IP precedence 的 值 为 0 

“precedence priority” 表 示 IP precedence 的 值 为 1 

[tos tos] 旨 定 IP 首部 内 ToS 数据 域 的 值 ， 该 值 可 以 是 从 0 到 15 的 数字 ， 也 可 以 是 文字 序列 。 例 : "tos 
0” 表 示 ToS 值 为 0 

“tos min-delay” 表 示 ToS 值 为 8 

[log | log-input] “log” 关 键 字 用 来 告知 路 由 器 当 收 到 与 访问 控制 列表 中 规则 一 致 的 分 组 时 ， 需 要 在 控制 站 
志 信 息 。"log input” 的 部 分 则 表示 还 需要 将 输入 网 络 接 口 和 发 送 源 MAC 地 址 的 相关 信息 
同 输出 。 该 参数 一 般 用 于 调试 模式 

[time-range 虽 定 访问 控制 列表 生效 的 时 间 段 。 "time-range” 命 令 后 还 可 以 添加 一 个 给 指定 时 间 段 定义 的 新 
time-range-name] 名 称 
人 网: 指定 平日 中 午 12 点 至 13 点 生效 


config)# time-range Lunch time 

























































































































































































































































































































































































config-time-range)# periodic weekday 12:00 to 13:00 
这 里 访问 控制 列表 中 输入 的 是 “time-range Lunch_time” 这 一 关键 字 














注 1: 粗 体 字 表示 关键 字 ， 斜 体 字 表 示 可 选 内 容 。 


国 防火 墙 的 安全 策略 

防火 墙 的 安全 策略 与 路 由 天 的 访问 控制 列表 最 大 的 不 同 点 在 于 是 否 拥 有 区 域 的 概念 。 大 多 数 
防火 墙 将 区 域 作 为 触发 对 象 。 

另外 ， 新 一 代 防 火 墙 中 的 触发 对 象 还 包括 了 应 用 程序 名 称 和 用 户 名 称 等 信息 。 
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访问 控制 列表 和 安全 策略 都 是 按照 表 中 由 上 往 下 的 顺序 依次 进行 评估 。 例 如 在 表 5-18 所 示 
的 范例 中 ， 从 信任 区 域 向 不 信任 区 域 的 192.168.2.1 地 址 通信 时 ， 防 火 墙 首先 评估 第 1 条 安全 策 
略 ， 检 测 出 发 送 源 地 址 和 该 策略 中 定义 的 不 同 ， 因 此 未 执行 Allow 行为 。 接 着 评 佑 第 2 条 安全 策 
略 ， 发 送 源 地 址 和 策略 定义 相 匹配 ， 因 此 执行 Deny 行为 ， 也 就 是 拒绝 该 通信 。 防 火 墙 的 这 种 安 



































全 策略 评估 行为 也 可 称 为 安全 策略 查找 ( policy lookup )。 
安全 策略 的 范例 














发 送 源 区 域 目的 地 区 域 发 送 源 地 址 目的 地 址 目的 地 端口 行为 
1 Trust Untrust 192.168.1.0/24 Any Any Allow 
名 Trust Untrust 192.168.2.0/24 Any 80 Deny 
8 Untrust DMZ Any 10Mnd 80 Allow 























如 果 将 触发 对 象 设置 为 “Any” 则 表示 触发 对 象 是 任何 值 都 与 策略 相 匹 配 。 

在 表 5-18 所 示 的 范例 中 ， 并 没有 从 信任 区 域 向 DMZ 区 域 进 行 通信 的 表 项 。 对 于 这 类 没有 
出 现在 安全 策略 表 中 的 通信 行为 ， 防 火 墙 默 认 执 行 拒绝 的 行为 ， 这 一 决策 称 为 “默认 的 拒绝 ” 
( implicit deny )， 路 由 右 的 访问 控制 列表 同样 也 可 以 执行 “默认 的 拒绝 ”。 

当 需 要 防火 墙 在 没有 匹配 的 情况 下 也 执行 允许 行为 时 ， 可 以 像 表 5-19 所 示 那 样 ， 在 安全 策 
略 的 最 后 一 行将 触发 对 象 均 设 置 为 “Any”， 然 后 将 行为 设置 为 “allow 。 
在 最 后 一 行 设置 allow 策略 的 范例 

发 送 源 区 域 目的 地 区 域 发 送 源 地 址 

Trust Untrust 192.168.1.0/24 


























Trust Untrust 192.168.2.0/24 





Untrust DMZ Any 























Any Any Any 





防火 墙 可 设置 的 安全 策略 也 会 有 一 定 的 上 限 ， 该 上 限 由 产品 规格 决定 。 当 需要 进行 安全 策略 
评估 的 表 项 越 来 越 多 时 ， 设 备 的 性 能 也 会 随 之 下 降 。 至 于 设备 性 能 会 下 降 到 何 种 程度 ， 则 需要 对 
在 设置 完 安 全 策略 后 ， 策 略 最 终 行 命中 的 情况 下 ， 上 所 能 得 到 的 通信 吞吐 量 与 没有 配置 任何 安全 策 
略 时 能 得 到 的 通信 吞吐 量 进 行 比较 ， 方 能 得 出 结论 。 























国 内 容 安全 策略 
区 域 、IP 地 址 、 端 口号 、 应 用 程序 等 都 可 以 作为 防火 墙 判 断 是 否 允许 进行 通信 的 安全 策略 依 
据 。 另 外 , 在 UTM 以 及 新 一 代 防 火 墙 中 ， 还 可 以 使 用 内 容 安全 策略 规则 完成 对 特定 通信 的 挖 于 
具体 而 言 ， 该 策略 使 用 了 反 病 毒 、IPS ( 入 侵 防 御 系统 )、URL 过 滤 、DLP (数据 泄露 防护 ) 




















ds 
总 














图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 





262 | 第 5 章 防火 墙 功 能 与 防范 威胁 的 对 策 





上 


等 基于 内 容 的 安全 机 制 ， 能 够 拦截 非法 通信 和 避免 不 必要 的 通信 流量 。 另 外 ， 通 过 该 策略 防火 墙 
还 也 可 以 对 这 些 通信 不 实施 拦截 ， 而 是 将 其 记录 到 告警 日 志 中 后 放行 。 

安全 设备 ( OS ) 的 初始 设置 一 般 都 设置 成 拦截 ( drop ) 严重 程度 ( Severity ) 高 的 攻击 ， 严 重 
程度 低 的 攻击 只 记录 到 告警 日 志 中 。 当 然 ， 用 户 也 能 够 通过 修改 设置 拦截 严重 程度 低 的 攻击 。 

另外 ， 反 病毒 以 及 IPS 可 能 会 发 生 误 判 。 误 判 分 为 假 阳性 ( false-positive ) 错误 ”和 假 阴 性 
( false-negative ) 错误 2 两 类 。 

假 阳 性 错误 是 指明 明 没 有 攻击 行为 (或 病毒 人 侵 )， 却 被 网 络 安全 装置 判断 为 存在 攻击 行为 
(或 病毒 人 侵 )， 并 将 该 行为 记录 到 日 志 中 ， 或 者 之 间 将 通信 拦截 。 一 般 这 类 错误 容易 被 用 户 或 
理 员 察 觉 。 

假 阴 性 错误 是 指明 明 存 在 攻击 行为 ， 却 判断 为 没有 攻击 行为 。 结 果 不 仅 完 成 了 通信 ， 也 没 
有 将 通信 该 行为 记录 到 日 志 中 ， 导 致 管理 员 即 使 查看 安全 设备 的 日 志 信 息 也 无 法 察觉 这 一 严重 后 
果 。 只 有 检查 作为 客户 端的 个 人 计算 机 上 安装 的 反 病 毒 软 件 或 个 人 防火 墙 ， 才 能 找到 这 些 没有 被 
安全 设备 防范 的 通信 的 信息 。 总 之 ， 假 阴性 错误 一 般 都 是 由 于 数字 签名 本 身 不 存在 ， 或 误 认 为 数 
字 签 名 存在 而 导致 的 检测 失败 。 
































天 















































05.07.05 NAT 


使 用 私有 卫 地 址 、 位 于 内 部 网 络 的 客户 端 向 位 于 外 部 网 络 (互联 网 ) 的 服务 器 进行 通信 时 ， 
可 以 通过 路 由 器 或 防火 墙 将 发 送 源 的 私有 IP 地 址 转换 为 全 局 IP 地 址 ， 这 一 转换 过 程 称 为 NAT®。 

NAT 原本 是 由 为 路 由 需 提 供 的 功能 ， 不 过 现在 位 于 网 络 边界 处 的 防火 墙 也 常常 使 用 该 项 功 
能 为 用 户 服务 。 路 由 器 和 以 及 防火 墙 等 运行 NAT 功能 的 装置 在 后 文 都 将 统称 为 网 关 ( gateway )。 














国 静态 NAT 

静态 NAT (Static NAT ) 是 指 将 NAT 之 前 的 地 址 和 NAT 之 后 的 地 址 进行 1 对 1 的 分 配 ,由 
管理 员 将 信息 设置 到 网 关中 。 管 理 员 根据 转换 前 的 地 址 在 网 关中 设置 一 个 指定 地 址 ， 该 指定 地 址 
即 成 为 转换 后 的 地 址 信息 。 静 态 NAT 在 进行 目的 地 NAT 时 经 常 使 用 ， 能 够 对 外 部 网 络 屏蔽 内 部 
服务 器 的 地 址 ， 从 而 避免 内 部 网 络 受到 攻击 。 























( 来 自 于 生物 学 ， 可 以 简单 理解 为 验证 某 事 物 为 阳性 ( 真 ) 时 ， 出 现 了 错误 。 
@， 来自 于 生物 学 ， 可 以 简单 理解 为 验证 某 事物 为 阴性 ( 假 ) 时 ， 出 现 了 错误 。 
@ ”全称 为 Network Address Translator。 译 者 注 





译 者 注 
译 者 注 
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如 EE 静态 NAT 的 流程 


NAT 转 换 表 
3.3.3.1 一 192.168.10.1 
3.3.3.2 一 192.168.10.2 


192.168.10.1 






192.168.10.254 和 个 















































服务 器 网 关 互联 网 
发 送 源 的 发 送 源 的 
地 址 也 址 地 址 也 址 
一 
转换 后 的 分 组 原始 分 组 


例 ; 发 送 源 地 址 3.3.3.1 转 换 为 192.168.10.1。 
发 送 源 地 址 3.3.3.2 转 换 为 192.168.10.2。 

















加 动态 NAT 
动态 NAT 的 方式 是 首先 给 网 关 指定 一 个 名 为 IP 地 址 池 ( IP address pool ) 的 IP 地 址 范围 ， 


NAT 所 需 会 话 建立 时 ， 
够 由 管理 员 通过 设置 进行 更 改 ， 因 此 该 方式 应 用 于 需要 进行 NAT 的 对 象 比较 多 的 情况 。 
虽然 和 静态 NAT 类 似 ， 私 有 地 址 与 全 局 地 址 存在 1 对 1 的 映射 关系 ,但 是 通过 动态 NAT 转换 


也 址 不 是 由 管理 员 设置 ， 而 是 动态 分 配 的 、 在 耳 地 址 池内 排序 靠 前 的 有 将 地 址 (图 5-20 )。 









































后 的 
动态 NAT 的 流程 
NAT 转 换 表 


192.168.1.2 = 2.2:2:1 


192.168:1.1. 2:2:2:2 
: IP 地 址 池 
2.2.2.1~2.2.2.10 


2.2.2.254 = 了 2 .254 < 


192.168.1.1 ”192.168.1.3 






tel 





客户 端 





互联 网 网 关 

















例 : 将 发 送 源 I|P 地 址 通过 范围 是 2.2.2.1~2.2.2.10 的 IP 地 址 池 进 行 转换 。 
人 将 第 一 个 到 达 网 关 的 分 组 的 发 送 源 IP 地 址 192.168.1.2 转 换 为 2.2.2.1。 
G@) 将 第 二 个 到 达 网 关 的 分 组 的 发 送 源 IP 地 址 192.168.1.1 转 换 为 2.2.2.2。 
( 由 于 该 地 址 池 中 最 多 有 10 个 地 址 ， 因 此 最 多 允许 10 个 客户 端 连接 到 互联 网 ) 

































































图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


264 | 第 5 章 防火 墙 功 能 与 防范 威胁 的 对 策 


国 发 送 源 NAT 

发 送 源 NAT( Source NAT ) 是 指 对 发 送 源 的 IP 地 址 进行 NAT 转换 。 

位 于 公司 内 部 网 络 (私有 网 络 )、 使 用 私有 IP 地 址 的 客户 端 在 作为 发 送 源 将 数据 发 送 至 网 关 
时 ， 必 须 将 私有 IP 地 址 转换 为 全 局 地 址 才能 访问 外 部 互联 网 上 的 服务 器 。 

与 互联 网 上 的 服务 器 进行 通信 必须 使 用 全 局 卫 地 址 ， 但 由 于 IPv4 地 址 处 于 枯竭 状态 ， 因 此 
无 法 为 互联 网 上 的 每 台 客户 端 都 分 配 一 个 全 局 卫 地 址 。 而 在 大 多 数 情 况 下 ， 发 送 源 NAT 能 够 通 
过 动态 NAT 方式 节约 全 局 IP 地 址 资源 ， 因 此 通过 在 网 关上 设置 地 址 池 ， 或 者 在 网 关 的 网 络 接口 
处 使 用 NAPT (后 文 会 介绍 )， 也 可 以 实现 从 私有 网 络 访问 互联 网 的 功能 。 

由 于 从 外 部 网 络 只 能 查询 全 局 地 址 信息 ， 因 此 发 送 源 NAT 还 能 够 隐藏 客户 端 实际 分 配 到 的 
IP 地 址 ， 从 而 降低 直接 受到 外 部 网 络 攻击 的 风险 。 而 且 通 常 是 由 网 关 来 完成 NAT 转换 工作 ， 
此 访问 控制 列表 的 管理 也 变 得 非常 简单 (网 5-21 )。 


2 发 送 源 NAT 的 流程 






























































NAT 转 换 表 
192.168.1.1 一 2.2.2.1 
192.168.1.2 一 2.2.2.2 
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192.168.1.1 


















































发 送 源 的 
地 址 也 址 
转换 后 的 分 组 原始 分 组 





国 目的 地 NAT 

目的 地 NAT ( Destination NAT ) 是 指 对 发 送 目的 地 的 卫 地 址 进行 NAT 转换 。 

位 于 互联 网 等 公司 外 部 网 络 的 客户 端 ， 想 要 通过 网 关 访问 位 于 公司 内 部 网 络 的 服务 器 时 ， 需 
要 进行 目的 地 NAT。 由 于 公司 内 部 服务 器 一 般 使 用 分 配 好 的 内 网 地 址 ， 因 此 无 法 从 互联 网 直接 
路 由 到 。 这 时 ， 网 关 可 以 作为 该 内 部 服务 器 的 代理 ， 定 义 全 局 地 址 ， 并 将 来 自 外 部 网 络 的 客户 端 
访问 转移 到 该 全 局 地 址 上 。 网 关 接收 到 目的 地 为 全 局 地 址 的 分 组 后 ， 将 该 分 组 的 目的 地 址 再 转换 
为 内 部 服务 器 所 拥有 的 实际 私有 地 址 ， 从 而 完成 路 由 。 公 司 内 部 的 服务 需 通 常会 放置 在 DMZ 区 
域 中 (图 5-22 )。 
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民有 世 芭 目的 地 NAT 的 流程 


NAT 转 换 表 
3.3.3.1 一 192.168.10.1 
3.3.3.2 一 192.168.10.2 


192.168.10.1 位于 1 






192.168.10.254 3.3.3.254 





















































互联 网 网 关 客户 端 
发 送 源 的 发 送 源 的 
地 址 也 址 地 址 也 址 
一 
转换 后 的 分 组 


原始 分 组 


国 NAPTIP 伪装 /PAT 





当 只 能 使 用 1 个 全 局 地 址 同 外 部 网 络 进行 通信 ,或 者 可 用 的 全 局 地 址 少 于 内 部 网 络 的 客户 端 
数量 时 ， 网 关 无 法 完成 私有 地 址 和 全 局 地 址 的 1 对 1 分 配 。 


这 种 情况 下 ， 网 关 需 要 结合 使 用 TCP 或 UDP 端口 号 ， 完 成 将 多 个 私有 地 址 映射 成 1 个 全 局 
地 址 的 转换 ( 图 5-23 )。 








NADT/IP 伪装 /PAT 的 流程 








NAT 转 换 表 ※10001 和 10002 表 示 发 送 源 端口 号 
192.168.10.1 一 4.4.4.1:10001 
192.168.10.2 一 4.4.4.1:10002 



















192.168.10.1 
12:11.1 
192.168.10.254 
上 192.168.10.2 
服务 器 
五 联网 192.168.10.3 

















































































































































































































原始 分 组 
发 送 源 的 发 送 源 也 
端 地 址 也 址 ” 端 
0 [ET 
可 的 分 组 














项 妈 分 和 
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这 种 转换 方式 称 为 NAPT ( Network Address Port Translation， 网 络 地 址 端口 转换 )， 是 动态 
NAT 的 一 中 , 在 Linux 中 称 为 卫 伪装 (IP Masquerade )， 在 一 部 分 网 络 硬件 中 也 称 为 PAT ( Port 
Address Translation， 端 口 地 址 转换 )、NAT 重 载 (NAT overloading )、 单 一 地 址 NAT 或 端口 级 
NAT 复 用 等 。 





国 MIP 与 VIP 

Juniper 公司 的 ScreenOS 中 还 使 用 了 MIP ( Mapped Internet Protocol， 映 射 网 络 协议 ) 和 VIP 
( Virtual Internet Protocol， 虚 拟 网 络 协议 ) 两 个 NAT 术语 。 

MIP 是 指 将 1 个 IP 地 址 映射 成 男 1 个 JP 地 址 (1 对 1 分 配 )， 同 静态 NAT 类 似 ， 主 要 用 于 
目的 地 NAT 转换 。 

VIP 则 是 基于 目的 地 端口 号 的 静态 NAT。 

ScreenOS 中 动态 NAT 所 使 用 的 卫 地址 池 称 为 DIP( Dynamic IP Pool, 动态 全 池 )。 

















05.07.06 VPN 








VPN Virtual Private Network ) 的 意思 是 虚拟 私有 网 络 "。 所 谓 的 私有 网 络 是 指使 用 私有 
IP 地 址 、 位 于 组 织 内 部 的 网 络 ， 即 Intranet。 而 VPN 则 是 使 用 公共 互联 网 或 者 电信 运营 商 提 供 的 
公共 网 络 ， 廉 价 构 建 Intranet 的 技术 。 

位 于 Intranet 中 的 管理 数据 、 人 事 信息 、 技 术 信 息 等 对 于 外 部 而 言 属于 机 密 的 信息 ， 必 须 在 

组 织 内 部 封闭 地 进行 数据 传输 。 当 组 织 只 有 1 个 办 公 场 所 时 ， 可 以 通过 LAN 完成 Intranet 的 构 
建 。 但 如 果 有 类 似 于 东京 总 部 和 大 阪 分 部 这 类 跨 地 理 位 置 的 分 支 机 构 时 ， 就 不 得 不 在 这 些 地 理 位 
置 不 同 的 办 公 场 所 之 间 完 成 Intranet 的 构建 与 连接 。 对 于 这 类 情况 ， 在 上 世纪 90 年 代 之 前 ， 是 
通过 签约 、 租 用 电信 运营 商 提供 的 “专线 ”服务 来 完成 mtranet 构建 的 。 顾 名 思 义 ， 这 个 “专线 ” 
是 属于 租用 方 单独 使 用 的 线路 ， 因 此 在 专线 内 不 会 出 现 其 他 公司 的 数据 ， 也 无 需 担 心 第 三 方 对 
该 专线 中 的 数据 进行 穷 听 ， 通 信 质 量 也 能 得 到 保障 。 但 是 专线 的 月 租 费 用 很 高 ， 尤 其 是 带宽 为 几 
Mobit/s 以 上 的 广域网 线路 ， 租 用 费用 更 是 不 菲 。 

1995 年 左右 ,与 互联 网 的 连接 开始 通过 使 用 廉价 终端 适 配 带 的 ISDN 进行 。2000 年 左右 ， 
随 着 ADSL 这 种 互联 网 接 入 服务 的 普及 ,使 用 广域网 接 入 互联 网 的 成 本 越 来 越 低 ， 利 用 互联 网 
来 构建 组 织 内 部 Intranet 节点 的 做 法 也 开始 体现 出 很 强 的 成 本 优势 。 

这 一 时 期 ， 路 由 器 、 防 火 墙 、VPN 专用 装置 都 可 以 支持 IPsec-VPN 功能 ， 在 各 个 节点 之 间 
使 用 这 些 设备 创建 IPsec 隧道 并 进行 连接 ， 就 可 以 完成 VPN 的 构建 (这 一 时 期 将 支持 IPsec-VPN 
















































































QD 或 虚拟 专 有 网 。 





译 者 注 
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的 设备 统称 为 VPN 装置 )。 





国 根据 拓扑 对 VPN 分 类 


e 站 点 间 VPN 
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站 点 间 VPN ( site-to-site VPN ) 是 在 两 个 网 络 之 间 通 过 IPsec 隧道 进行 连接 的 拓扑 结构 。 在 每 
个 网 络 的 网 关中 都 设 有 路 由 器 或 防火 墙 等 VPN 装置 ， 二 者 之 间 也 建 有 IPsec 隧道 。 两 个 VPN 装 
置 之 间 使 用 的 是 点 对 点 的 拓扑 结构 (图 5-24 )。 


站 点 间 VPN 的 组 成 








网 络 A 


Sm 


IPsec 隧道 


( 路 


@ 


互联 网 


| ”VPN 装置 

















器 、 专 用 设备 等 ) 








“一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 ~ 





网 络 A 
( Site A: ex. 名 古 屋 分 部 ) 


= 


这 里 提 到 的 网 络 是 指 位 于 东京 的 总 部 网 络 或 者 位 于 名 古 屋 分 部 的 任意 站 点 中 的 网 络 。 因 为 是 
站 点 ( site ) 之 间 的 连接 ， 所 以 称 为 站 点 间 VPN。 


。 中心 辐射 型 VPN 


中 心 辐射 型 YPN ( hub and spoke VPN ) 是 星 形 拓扑 结构 ， 即 将 1 个 中 心 站 点 的 硬件 同 多 个 远 
程 站 点 的 硬件 连接 而 构成 的 结构 (图 5-25 )。 中 心 站 点 (center site ) 放置 总 部 的 网 络 与 数据 中 心 ， 
成 为 整个 组 织 的 核心 站 点 。 该 拓扑 结构 同 自行 车 的 飞轮 和 辐 条 组 成 的 结构 类 似 ， 因 此 命名 为 hub 
and spoke VPN?。 该 类 型 VPN 一 般 用 于 服务 供应 商 提供 的 VPN 业务 ， 以 服务 供应 商 的 基础 设施 
为 中 心 站 点 ， 通 过 VPN 连接 整个 组 织 的 其 他 站 点 。 





@ 自行 车 车 轮 的 结构 ， 飞 轮 俗 称 “ 飞 ”"， 英 语 为 hub， 辐 条 俗称 “轮胎 钢丝 ”， 





英语 为 spoke。 一 一 译 者 注 
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中 心 辐射 型 VPN 的 组 成 


= 


+---------------、 
心 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 站 一 -一 -= 一 一 一 一 一 一 一 一 一 一 一 






IPsec 隧道 IPsec 隧道 


VPN 装 置 


远程 站 点 A 
ex. 名 古 屋 分 部 


1 
1 
1 
1 
1 
下 
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1 
1 
1 
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1 
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1 
1 
1 
1 
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ex. 名 十 屋 分 半 


部 霹 局 画 司 避 二 画 而 十 画 二 而 夯 吉 而 画 友 蔓 二 局 局 十 画面 蚌 画 二 局 硬 志 曲直 二 画 志 砍 


e 远 程 接 入 型 VPN 

用 户 使 用 个 人 计算 机 上 的 软件 ， 在 家 中 或 在 外 出 时 经 由 互联 网 与 公司 的 VPN 装置 建立 IPsec 
隧道 ， 进 而 访问 公司 内 部 服务 器 的 拓扑 结构 称 为 远程 接 入 型 VPN (网 5-26 )。 

远程 接 入 型 的 IPsec-VPN 子 类 型 需要 实现 中 ,个 人 计算 机 安装 VPN 客户 端 软 件 ， 而 SSL- 
VPN 子 类 型 则 是 通过 Web 浏览 器 使 用 SSL 连接 至 公司 的 VPN， 通 过 SSL ( HTTPS ) 连接 与 公司 
内 部 服务 器 进行 交互 。 
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远程 接 入 型 VPN 的 结构 


和 










IPsec 隧道 IPsec 隧道 


© 


互联 网 
VPN 软 件 





VPN 软 件 





加 |Psec-VPN 


IPsec-VPN 是 使 用 IPsec 协议 的 VPN 连接 ， 主 要 用 于 在 站 点 间 VPN 以 及 中 心 辐射 型 YPN 中 
提供 经 由 互联 网 连接 到 站 点 的 安全 连接 。 表 5-20 中 总 结 了 在 IPsec-VPN 中 所 使 用 的 协议 及 其 重 
要 功能 。 


IPsec VPN 中 使 用 的 技术 术语 

































































































































































术语 说 明 

SA ( Security Association ) IPsec 通信 时 与 通信 对 方 建立 的 逻辑 连接 

ESP ( Encapsulating Security 将 原始 分 组 按 DES/3DES/AES 等 任意 一 个 算法 进行 加 密 。 通 过 HMAC 确定 是 否 被 

Payload ) 自 改 。 使 用 的 IP 协议 号 为 50 

AH ( Authentication Header ) 根据 HMAC 信息 确认 分 组 是 否 被 算 改 的 认证 协议 。 不 对 分 组 进行 加 密 。 使 用 的 IP 
协议 号 为 51。 在 不 使 用 加 密 通信 的 国家 使 

IKE ( Internet Key Exchange ) IPsec 加 密 时 用 来 交换 key 信息 的 协议 ， 也 称 为 ISAKMP/Oakley。 在 ISAKMP 协议 
上 实现 Oakley 的 key 交换 过 程 。 使 用 UDP 端口 号 为 500。 分 为 阶段 ( phase ) 1 和 





























阶段 2 进行 处 理 


























































































































HMAC ( Keyed-Hashing for 来 验证 信息 是 否 被 自 改 的 一 种 MAC ( 消息 认证 码 )， 使 用 散 列 函 数 通过 与 密 钥 信息 
Message Authentication code ) | ( password ) 的 组 合计 算 而 得 。 其 中 散 列 函数 使 用 的 散 列 算法 一 般 为 MD5 或 SHA-1 
SPI 表示 SA 的 编号 ， 值 为 32bit。 在 对 分 组 进行 加 密 时 ， 将 该 值 代入 其 中 ， 表 示 使 用 了 
( Security Pointer Index ) 何 种 加 密 算法 与 密 钥 信息 
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术语 说 明 
NAT traversal 通过 ESP 进行 加 密 的 分 组 由 于 没有 TCP/UDP 首部 ， 因 此 无 法 使 用 NAPT。 这 时 就 
需要 使 用 NAT traversal 技术 给 ESP 加 密 后 的 分 组 添加 UDP 首部 ， 从 而 在 NAPT 环 
境 下 也 能 够 进行 IPsec 通信 。 一 般 使 用 500 或 4500 的 目的 地 端口 号 
有 NAT traversal 默认 使 用 的 端口 号 
| 商 、NAT traversal 功能 的 名 称 端 国 号 
Check Point Software Technologies VPN-1 SecuRemote | UDP 端口 2746 
IPsec Transport Encapsulation Protocol 


































































































































































































































































































Cisco Systems VPN3000 NAT-T UDP 端口 4500 
Juniper Networks 的 SSG 系列 UDP 端口 500 
其 他 厂商 UDP 端口 500 或 4500 














注 1: NAT traversal 使 用 的 端口 号 也 可 以 通过 设置 来 更 改 。 


e IPsec-VPN 连接 

在 建立 IPsec 隧道 的 通信 双方 中 ， 发 起 协商 的 一 方 称 为 发 起 者 (initiator )， 另 一 方 称 为 应 
者 (responder )。 

发 起 者 是 最 先 发 出 通过 IPsec 隧道 分 组 的 网 络 装置 。 

在 阶段 1 使 用 aggressive 模式 时 ， 如 果 远 程 站 点 装置 使 用 动态 IP 地 址 、 通 过 了 PPPoE 连接 互 
联网 的 话 ， 由 于 中 央 站 点 装置 无 法 预知 远程 站 点 装置 的 卫 地 址 ， 因 此 远程 站 点 装置 将 成 为 发 起 
者 。 这 种 情况 下 ， 需 要 由 远程 站 点 一 侧 的 客户 端 开 始 整个 通信 过 程 。 












































e Rekey 

IPsec 隧道 在 建立 后 ， 需 要 定期 进行 rekey ( 更 新 key ) 操作 。rekey 操作 每 经 过 一 定时 间或 每 
当 有 一 定量 的 数据 在 隧道 上 流 过 后 就 会 进行 

大 多 数 VPN 装置 提供 了 调整 rekey 进行 时 间 的 功能 。 

从 故障 排查 角度 来 看 ， 发 起 者 和 应 答 者 之 间 也 是 采取 相同 的 机 制 比较 好 。 

成 为 发 起 者 的 VPN 装置 如 果 提 前 设置 了 rekey 进行 时 间 的 话 ， 一 般 就 会 从 该 装置 开始 整个 
协商 过 程 。 




















e 站 点 间 VPN 的 通信 处理 

以 网 络 A 与 网 络 B 为 例 ， 网 络 A 与 网 络 B 之 间 通 过 IPsec 隧道 完成 连接 ， 位 于 网 络 A 内 的 
PC-A 想 要 向 位 于 网 络 B 内 的 PC-B 进行 通信 。 

PC-A 发 起 通信 请 求 后 ， 通 过 路 由 器 或 交换 机 将 分 组 发 送 到 网 关 一 一 VPN 装置 A 处 ， 这 时 该 
分 组 尚未 加 密 ， 人 处 于 明文 (cleartext ) 状态 。 分 组 通过 VPN 装置 A 进行 加 密 ， 并 添加 ESP 首部 
与 在 隧道 内 通信 用 的 卫 首部 ( 称 为 外 部 卫 地 址 (outer IP )) 后 ， 通 过 IPsec 隧道 发 送出 去 。 









































图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 








05.07 ”防火 墙 中 搭载 的 各 种 功能 | 271 





网 络 B 中 的 VPN 装置 B 通过 IPsec 隧道 接收 到 加 密 的 分 组 后 ， 会 校 验 检查 ESP 首部 与 
AH 首部 。 虽 然 根 据 设置 可 能 会 有 所 不 同 ,但 一 般 来 说 如 果 ESP 序列 号 不 正确 ，VPN 装置 B 就 
会 将 该 分 组 判定 为 重 放 攻 击 并 输出 错误 信息 ，SPI 值 如 果 不 正确 则 会 输出 “Bad SPI” 的 错误 通知 
信息 。 

如 果 加 密 分 组 一 切 正常 ， 则 开始 执行 解密 操作 ， 去 除外 部 IP、ESP、AH 等 首部 ， 并 对 原来 
IP 首部 ( 称 为 内 部 卫 首部 ) 中 的 目的 地 址 进行 路 由 ， 从 而 到 达 PC-B 处 。 

PC-B 向 PC-A 回复 的 消息 由 VPN 装置 B 进行 加 密 处 理 ，VPN 装置 A 进行 解密 处 理 。 

另外 ， 中 心 辐射 型 VPN 中 远程 站 点 客户 端 和 中 央 站 点 服务 器 之 间 的 VPN 通信 也 可 以 参照 上 
述 流程 模式 。 








e 远程 站 点 之 间 的 通信 处 理 

以 远程 站 点 A 和 远程 站 点 B 为 例 。 远 程 站 点 A 内 的 PC-A 同 远 程 站 点 B 内 PC-B 进行 通信 
时 ， 需 要 利用 位 于 远程 站 点 A 的 VPN 装置 A、 位 于 远程 站 点 B 的 VPN 装置 B， 以 及 位 于 中 央 
站 点 的 VPN 装置 C。 

分 组 通过 VPN 装置 A 与 VPN 装置 C 之 间 的 IPsec 隧道 后 ， 再 途经 VPN 装置 C 与 VPN 装 
置 B 之 间 的 IPsec 隧道 ， 最 终 到 达 PC-B。 在 这 个 过 程 中 ， 远 程 站 点 的 VPN 装置 处 理 与 站 点 间 
VPN 装置 的 处 理 过 程 如 出 一 轩 。 

位 于 中 央 站 点 的 VPN 装置 则 需要 完成 解密 和 加 密 两 项 处 理 。 置 于 中 央 站 点 的 路 由 器 或 
VPN 专用 装置 ， 一 般 只 进行 解密 、 加 密 以 及 路 由 选择 处 理 。 但 置 于 中 央 站 点 的 防火 墙 则 在 分 组 
解密 后 还 会 对 其 进行 更 为 精确 的 检查 ， 仪 对 安全 性 有 保障 的 分 组 进行 加 密 ， 然 后 再 向 远程 站 点 
e 基于 策略 的 VPN 

路 由 需 以 及 大 多 数 VPN 装置 都 使 用 基于 策略 的 VPN 功能 。 基 于 策略 的 VPN 是 指 根据 策略 
(访问 控制 列表 ) 信息 选择 经 过 IPsec 隧道 的 通信 流量 ， 这 样 即使 路 径 发 生变 化 也 不 会 对 IPsec 通 
信 造 成 影响 。 

基于 策略 的 VPN 需要 设置 执行 IPsec 的 策略 与 proxyID 信息 。proxyID 用 于 指定 IPsec 隧道 
内 传输 分 组 的 本 地 网 络 和 远程 网 络 。 

例如 ， 站 点 A 与 站 点 B 之 间 使 用 站 点 间 VPN 构建 网 络 ， 其 中 站 点 A 网 络 为 192.168.1.0/24 
和 192.168.2.0/24， 站 点 B 为 192.168.3.0/24 和 192.168.4.0/24。 

如 果 只 在 192.168.1.0/24 和 192.168.3.0/24 之 间 进 行 加 密 通 信 的 话 ， 需 要 在 站 点 A 的 VPN 装 
置 处 设置 本 地 proxyID 为 192.168.1.0/24， 远 程 proxyID 配置 为 192.168.3.0/24。 在 站 点 B 的 VPN 
装置 处 设置 本 地 proxyID 为 192.168.3.0/24， 远 程 proxyID 为 192.168.1.0/24。 
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e 基于 路 由 的 VPN 





基于 路 由 的 VPN 是 Juniper 公司 的 NetScreen/SSG 系列 以 及 Palo Alto 


类 型 。 


产品 采用 的 VPN 
该 类 型 VPN 适用 于 需要 防火 
En 
虚拟 接口 流入 IPsec 隧道 


ts 











石 


基于 路 由 的 VPN 同样 可 以 使 用 策略 进行 控制 。 
基于 策略 的 VPN 中 使 用 策略 来 决定 是 否 将 某 分 组 作为 IPsec ee 而 基于 路 由 的 

































































增 对 IPsec 分 组 也 进行 精确 控制 的 情况 。 
隧道 的 起 点 称 为 隧道 接口 (tunnel interface )， 通 信 流 量 通 过 该 
。 如 果 有 通信 流量 需要 在 IPsec 隧道 内 传输 ， 就 可 以 通 


公司 的 PA 系列 防火 墙 





过 设置 路 由 选 








先 择 ， 

























































































































































































































































































VPN 则 根据 隧道 接口 的 路 由 信息 来 决定 是 否 进行 IPsec 通信。 因此 在 进行 IPsec 通信 时 ， 也 可 以 
和 处 理 普通 分 组 一 样 ， 通 过 策略 来 定义 分 组 过 滤 和 防火 墙 处 理 等 。 
。 阶 段 1 

在 IPsec 通信 中 为 了 建立 加 密 隧 道 的 SA( Security Association )， 需 要 在 各 硬件 之 间 使 用 IKE 
协议 完成 密 钥 的 交换 。 

为 了 提高 安全 性 ，IKE 协商 分 为 阶段 1 和 阶段 2 两 部 分 完成 。IKE 阶段 1 需要 完成 认证 SA 
建立 双方 、 生 成 阶段 2 所 需 公 有 密 钥 ， 建 立 ISAKMPY SA 等 工作 。 表 5-21 总 结 了 阶段 1 使 用 的 
各 个 参数 信息 。 

IPsec 阶段 1 使 用 的 参数 

参数 值 说 明 

模式 main 模式 或 者 aggressive | 在 main 模式 中 ， 使 用 IP 地 址 来 标识 硬件 。 隧 道 终端 的 两 个 VPN 装 

模式 如 果 是 固定 分 配 的 IP 地 址 ， 就 可 以 使 用 main 模式 。 而 如 果 一 个 

终端 的 硬件 是 使 用 PPPoE 或 DHCP 自动 获得 IP 地 址 ， 则 需要 使 
aggressive 模式 

认证 方法 数字 证 书 或 预 共 享 密 钥 使 用 公共 机 构 发 行 的 安全 证 书 ( Certificate ) 安 全 性 较 高 ， 但 手续 麻烦 
预 共享 密 钥 ( Pre Shared Key ) 就 是 隧道 两 端的 硬件 使 用 相同 口令 登录 的 
方法 ， 引 入 非常 简单 
使 用 数字 证 书 时 ， 需 要 指定 密 钥 的 类 型 ( RSA 或 DSA ) 和 长 度 ( bit 数 )。 
一 般 密 钥 长 度 在 512/768/1024/2048bit 中 任 选 ， 而 bit 数 越 大 安全 性 就 
越 强 

Diffie-Hellman | group 1、group 2、group 5 | 简称 为 DH，group 数字 越 大 表示 在 Oakley 密 钥 交换 时 使 用 的 公有 密 钥 

group 强度 越 高 。group 1 的 长 度 为 768bit，group 2 的 长 度 为 1024bit，group 
5 的 长 度 为 1536bit 

















中 


Internet Security Association and Key Management Protocol。 
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( 续 ) 


值 说 明 
DES、3DES、AES 选择 密 钥 长 度 为 56bit 的 DES、 密 钥 长 度 为 168bit 的 3DES 或 者 密 
为 


























128/192/256bit 的 AES， 其 中 AES 的 使 用 比较 普遍 。 密 钥 长 
度 越 高 ， 处 理 也 就 越 耗费 时 间 
MD5、SHA-1 MD5 使 用 128bit、SHA-1 使 用 160bit 的 散 列 值 进行 数据 的 认证 。 
SHA-1 这 这 种 使 用 的 散 列 值 越 长 ， 不 同 数据 之 间 因 散 列 计算 结果 相同 
造成 散 列 “ 冲 突 ” 的 可 能 性 就 越 低 
IP 地 址 或 FODN 用 于 识别 作为 执行 IKE 对 象 的 硬件 的 标识 符 。 大 多 使 用 IP 地 址 ， 也 有 全 
用 FODN “等 作为 标示 符 的 
















































































































































































e 阶段 2 
IKE 阶段 2 负责 生成 IPsec 通信 时 使 用 的 密 钥 并 建立 IPsec SA。 表 5-22 总 结 了 阶段 2 使 用 的 
各 个 参数 信息 。 


IPsec 阶段 2 使 用 的 参数 





















































































































































































































































参数 值 说 明 

IPsec 协议 AH: “ESP AH 只 能 用 来 认证 ，ESP 则 能 够 进行 认证 和 加 密 处 理 。 日 本 几乎 
都 是 使 用 ESP， 而 禁止 对 通信 加 密 的 国家 则 选择 AH 的 居多 

模式 隧道 模式 、 透 明 模 式 | 通过 IPsec 构建 VPN 时 使 用 隧道 模式 。 
在 终端 之 间 建 立 IPsec 隧道 时 则 使 用 透明 模式 

ESP 可 选项 旨 定 ESP 协议 是 仅 用 于 加 密 处 理 还 是 同时 用 于 加 密 和 认证 处 理 。 
该 参数 一 般 都 设置 为 后 者 

加 密 算法 与 认证 算法 DES、 3DES、 AES 与 阶段 1 相同 

反 重 放 ( Anti-Replay ) 选 项 | ON、OFF 点 选 反 重 放 选 项 后 ，|Psec 隧道 将 检查 接收 到 的 加 密 分 组 的 序列 









































号 信息 ， 丢 弃 序列 号 不 正确 的 分 组 ， 并 通过 记录 日 志 告 知 管理 员 
该 功能 主要 用 来 防止 重 放 攻击 ， 即 获取 加 密 分 组 的 内 容 后 ， 再 次 
发 送 相同 内 容 来 “ 自 改 ” 原 有 分 组 顺序 的 攻击 


































































































PFS ( Perfect Forward | ON、OFF 该 选项 用 于 防止 某 密 钥 成 为 破解 其 他 密 钥 的 线索 。 点 选 PFS 选项 
Securecy ) 选 项 后 ， 当 IPsec SA 密 钥 生 成 / 更 新 时 会 再 次 执行 Diffie-Hellman 算 





























法 ， 同 时 与 阶段 1 一 样 ， 选 择 Diffie-Hellman 的 group 类 型 











国 SSL-VPN 

SSL-VPN 是 一 种 通过 浏览 器 使 用 HTTPS ( HTTP over SSL ) 进行 安全 Web 访问 的 远程 接 入 型 
VPN。 

2000 年 左右 ， 远 程 接 入 型 IPsec-VPN 一 般 应 用 于 企业 中 ， 如 果 个 人 计算 机 想 要 使 用 ， 则 需 
事先 安装 并 设置 专用 的 客户 端 软件 。 由 公司 管理 的 个 人 计算 机 尚 能 够 解决 软件 的 安装 问题 ,但 是 





















































中 Fully Qualified Domain Name， 即 正式 域名 。 译 者 注 
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对 于 不 文 持 该 客户 端 软 件 的 Mac OS、 移 动 终端 等 操作 系统 、 以 及 和 希望 在 家 中 或 漫画 咖啡 厅 等 地 
点 使 用 非 公司 管理 的 计算 机 连接 VPN 的 用 户 来 说 ， 往 往 不 具备 相应 的 客观 条 件 。 另 外 , 在 VPN 
的 链 路 中 如 果 存 在 防火 墙 ，VPN 连接 也 有 可 能 因为 被 防火 墙 过 滤 掉 IPsec-VPN 使 用 的 协议 编号 
或 NAT traversal 使 用 的 端口 号 而 导致 失败 。 

2003 年 左右 随 着 SSL-VPN 技术 的 出 现 ， 只 要 个 人 计算 机 带 有 浏览 器 ， 就 能 够 通过 反 向 代理 
方式 (reverse proxy ) 完成 VPN 的 连接 。 更 加 值得 称道 的 是 SSL-VPN 使 用 的 是 几乎 所 有 防火 墙 
都 不 会 拦截 的 、 用 于 HTTPS 的 443 端口 ， 这 使 得 VPN 远程 连接 摆脱 了 操作 系统 和 连接 方式 的 限 
制 。 表 5-23 中 总 结 了 IPsec-VPN 和 SSL-VPN 的 不 同 之 处 。 


IPsec VPN 和 SSL VPN 的 比较 






























































































































































远程 接 入 型 IPsec-VPN SSL-VPN 
需要 专用 的 客户 端 软件 。 无 需 专用 客户 端 软件 ， 只 需 带 有 Web 浏览 器 即 可 
依赖 于 操作 系统 或 NIC 驱动 。 不 受 操作 系统 和 NIC 驱动 的 限制 
在 将 要 通过 的 防火 墙 中 需要 设置 多 个 安全 策略 (1KE、ESP 用 | 使 用 防火 墙 允 许 通过 的 HTTPS ( TCP443 ) 端 










































































的 端口 等 )。 

在 NAT 环境 下 需要 NAT traversal 过 程 。 不 受 NAT 环境 限制 

需要 注意 MTU 尺寸 。 不 受 MTU 尺寸 限制 

需要 管理 个 人 计算 机 。 无 需 管理 个 人 计算 机 

分 组 首部 小 于 SSL-VPN。 分 组 首部 较 大 ， 数 据 吞 吐 量 较 低 

































































网 络 层 以 上 的 协议 都 支持 实现 隧道 传输 。 








反 向 代理 以 及 端口 转发 方式 ( port forwarding ) 时 只 
TCP 协议 上 特定 的 应 用 程序 可 以 支持 隧道 传输 。 使 用 
隧道 方式 时 网 络 层 以 上 的 所 有 协议 都 支持 隧道 传输 



































研 次 
































IPsec-VPN 在 网 络 层 上 实现 ， 因 此 能 够 完成 所 有 TCP 和 UDP 通信 的 加 密 与 隧道 传输 处 理 。 
而 SSL-VPN 在 会 话 层 实现 ，SSL 通信 在 基于 TCP 的 443 端口 运行 (图 5-27 )。 反 向 代理 方式 以 
及 端口 转发 方式 只 能 对 特 TCP 通信 进行 隧道 传输 。 对 于 包含 ICMP 和 UDP 等 传输 层 通 
言 想 要 进行 隧道 传输 时 ， 只 能 选择 隧道 方式 。 
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IPsec-VPN 通信 与 SSL-VPN 通信 的 不 同 点 


IPsec-VPN 
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e 反 向 代理 方式 

反 回 代理 方式 也 称 为 无 客户 端 SSL-VPN。 

SSL-VPN 集中 器 (终端 装置 ) 在 443 号 端口 上 通过 HTTPS 完成 对 加 密 通信 的 解密 工作 后 ， 
转换 为 80 号 端口 的 HTTP 通信 与 内 部 网 络 上 的 Web 服务 器 进行 交互 。 该 方式 只 有 基于 使 用 80 
号 端口 、 通 过 浏览 器 浏览 Web 的 应 用 程序 才能 使 用 。 

在 内 部 客户 端 访问 互联 网 时 进行 中 继 的 代理 服务 器 称 为 转发 代理 服务 器 。 如 果 访 问 方向 相 
反 ， 即 在 互联 网 上 的 客户 端 访问 内 部 网 络 服务 器 时 进行 中 继 的 代理 服务 器 则 称 为 反 向 代理 服务 器 
( reverse proxy )。 使 用 代理 服务 器 和 代理 服务 器 专用 硬件 都 可 以 组 成 相同 的 结构 。 


e 端口 转发 方式 

端口 转发 方式 也 称 为 瘦 客 户 端 SSL-VPN。 

该 方式 使 用 ActiveX 或 Java applet 等 浏览 絮 插 件 来 创建 个 人 计算 机 与 服务 右 之 间 的 SSL 隧 
道 。 用 户 只 需要 登录 Web 门户 (SSL-VPN 网 关 ) 并 完成 认证 ， 就 能 够 下 载 相 关 搬 件 。 通 过 设置 
操作 系统 内 部 通讯 处 理 ， 用 户 能 够 使 用 位 于 公司 内 部 网 络 特定 服务 器 上 的 应 用 程序 ， 也 能 够 使 用 
端口 固定 且 无 需 浏览 器 支持 的 TCP 应 用 程序 (如 E-mail )。 有 些 产 品 还 能 够 支持 端口 号 变动 的 应 
用 和 UDP 应 用 程序 等 。 

Juniper 公司 的 SA 系列 产品 便 提供 了 类 似 的 功能 ， 命 名 为 SAM (Security Application 
Manager )， 而 且 SAM 还 分 为 对 应 Java applet 版 的 JSAM 和 对 应 ActiveX 版 的 WSAM 两 种 。 
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FS 公司 的 FirePass 也 提供 了 名 为 App Tunnel 的 类 似 功 能 ?。 
e 隧道 方式 
隧道 方式 是 使 用 SSL-VPN 客户 端 软件 的 方式 。 





隧道 方式 和 IPsec-VPN 一 样 ， 支 持 网 络 层 以 上 所 有 协议 的 隧道 传输 。 


用 户 通 过 浏览 器 访问 SSL-VPN 硬件 并 完成 认证 后 ， 便 会 使 用 Java 等 程序 


功能 的 应 用 程序 并 安装 在 用 户 的 个 人 计算 机 上 。 接 下 来 与 IPsec-VPN 








动 下 载 相关 安全 











日 
羊 ， 通 过 客户 问 软 件 建立 














个 人 计算 机 和 SSL-VPN 设备 之 间 的 隧道 ， 但 是 由 于 应 用 程序 的 设置 能 够 在 SSL-VPN 硬件 上 进 














行 ， 安 装 和 执行 也 能 够 实现 自动 化 ， 因 此 隧道 方式 在 管理 上 相当 便捷 。 


[= 


日 





= 


然 不 同 的 厂商 不 能 一 概 


而 论 , 但 由 于 使 用 了 客户 端 软件 ， 还 是 会 不 可 避免 地 受到 操作 系统 的 限制 。 


各 厂商 隧道 方式 的 功能 名 称 




















本 于 纺 主 要 的 SSL VPN 集中 器 产品 





产品 名 称 照片 ( 某 系列 产品 中 的 1 个 型 号 ) 系列 产品 允许 同时 连接 的 用 户 数 兰 ? 


厂商 、 产 品名 称 SSL-VPN 隧道 方式 的 功能 名 称 
Cisco Systems ASA 系列 、IOS SSL VPN CLIENT 
F5 FirePass 系列 Network Access 
Juniper Networks SA 系列 Network Connect ( NC) 
Palo Alto Networks NetConnect、GlobalProtect 





SSL-VPN 专用 装置 














SA 系列 ( 基于 Neoteris 公司 的 产 "Er = 10~40,000 
品 ) 

















F5 BIG-IP Edge Gateway 300~40,000 

DELL SonicWALL Aventail 系列 D> “i 25~20,000 
本 机 三 EE 胃 旧 

Barracuda SSL-VPN 15~1,000 

Array Networks AG 系列 > 10~128,000 























中 ”FirePass 于 2012 年 停止 销售 ， 其 后 继 产 品 BIG-IP APM/EDGE 也 提供 了 与 动态 App Tunnel 类 似 的 功能 。 
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产品 名 称 照片 ( 某 系列 产品 中 的 1 个 型 号 ) 系列 产品 允许 同时 连接 的 用 户 数 汪 ' 
Check Point 系列 100~10,000 








防火 墙 、UTM 产品 





Cisco Systems ASA5500 系列 25~5,000 





Palo Alto Networks PA 系列 100~10,000 





Fortinet Fortigate 系列 50~25,000 











注 1: 同时 连接 的 用 户 数 是 指 在 相同 系列 产品 中 能 够 支持 连接 的 用 户 数 的 范围 。 照 片 中 的 产品 型 号 能 够 支持 该 范围 内 的 其 
中 任何 一 个 数目 。 另 外 ， 也 有 些 产品 会 根据 购买 的 许可 证 (license ) 内 容 ， 对 支持 的 最 大 连接 用 户 数 做 出 相应 调整 。 


SSL 会 话 建立 的 序列 


Hello Request 





Client Hello 





Server Hello 





Server Certificate* 





Server Key Exchange* 





Certificate Request* 





Server Hello Done 





Client Certificate* 





Client Key Exchange 





Certificate Verify* 


Finished 
Finished 








* 为 可 选项 


e 主机 检查 
支持 主机 检查 ( Host Checker ) 功能 的 SSL-VPN， 在 客户 端 同 SSL-VPN 装置 连接 时 ， 能 够 对 
所 连接 的 客户 端 主机 进行 检查 ， 通 常会 检查 以 下 信息 。 
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主机 检查 所 涉及 的 内 容 范例 
是 否 安装 了 防毒 软件 伶 查 反 病毒 软件 的 签名 版 本 信息 

是 否 安装 了 个 人 防火 墙 令 查 特定 的 进程 是 否 启动 ( 硬盘 加 密 软件 以 及 日 志 收 集 软 件 等 ) 
OS 和 Service Pack 的 种 类 、 补 丁 兼 | 检查 特定 的 注册 信息 值 










































































MAC 地 址 检查 是 否 存 在 特定 文件 











如 果 主 机 检查 结果 OK， 则 人 允许 客户 端的 SSL-VPN 连接 ， 这 时 就 能 够 从 公司 外 部 网 络 访问 
内 部 网 络 。 如 果 结 果 为 NG?， 则 拒绝 客户 端的 SSL-VPN 连接 ,或 者 只 能 进行 软件 升级 等 特定 范 
围 内 的 访问 操作 。 

主机 检查 大 多 使 用 由 OPSWAT 公司 开发 的 工具 来 完成 。 








05.07.07 ”DoS 防御 


国 什么 是 DoS 攻击 ? 

DoS 是 Denial of Service 的 简称 ， 也 就 是 无 法 继续 提供 服务 的 意思 。 这 里 的 服务 是 指 服务 器 
提供 的 应 用 程序 服务 ， 如 客户 端 发 起 HITP 请 求 时 ， 服 务 器 如 果 能 够 做 出 HTTP 响应 就 表明 能 够 
完成 HITP 服务 。DoS 攻击 是 针对 服务 器 以 及 网 络 硬 件 发 起 的 攻击 ， 使 服务 器 以 及 网 络 硬件 无 法 
完成 正常 的 应 答 响应 ， 从 而 使 应 用 服务 程序 无 法 继续 提供 服务 。 因 此 ，Dosg 攻击 也 称 为 “停止 服 
务 攻击 ”或 “服务 障碍 攻击 ”。 

这 就 好 比 明明 没有 事 要 找 别 人 ， 却 频繁 按 别 人 家 的 门铃 后 逃走 ， 将 DoS 攻击 理解 为 这 种 
“门铃 恶作剧 ”可 能 会 更 加 容易 。 由 于 别人 的 家 人 不 知道 这 是 恶作剧 ， 听 到 门铃 声 后 ， 也 频繁 跑 
到 大 门口 来 确认 ， 结 果 就 造成 家 里 的 事情 ， 如 “做 饭 ” 等 家 务 (家 中 日 常 所 要 做 的 事情 ) 被 搁置 
一 旁 。 有 了 时， 骚扰 邮件 也 能 算 作 是 DogS 攻击 的 一 种 。 在 DoS 中 ,通过 僵尸 网 络 的 多 个 跳板 ( 即 
僵尸 )， 对 服务 器 发 起 攻击 的 方式 称 为 DDoS ( Distributed Denial of Service ) 攻击 。 

由 于 服务 器 以 及 网 络 硬件 的 处 理 能 力 总 归 是 有 上 限 的 ， 如 果 在 某 一 时 刻 出 现 大 量 访问 请 求 ， 
则 会 造成 服务 器 或 网 络 硬件 因 瞬 间 繁 忙 而 无 法 处 理 。 由 于 这 类 突 发 状况 在 正常 业务 状态 下 也 有 可 
能 发 生 ， 因 此 在 设计 时 往往 会 根据 预计 的 访问 数量 来 配备 相应 的 处 理 能 力 。 

DDoS 攻击 能 够 制造 出 远 超 于 预先 设计 的 访问 量 ( 通 信 量 )， 从 而 使 得 被 攻击 的 系统 进入 无 
法 提供 服务 的 状态 。 

另外 ，Dosg 攻击 也 可 以 通过 利用 操作 系统 或 程序 的 脆弱 性 ( 如 安全 漏洞 等 )， 以 少量 的 通信 


















































Pd 
































中 即 No Good。 一 一 译 者 注 
@， 2002 年 成 立 的 一 家 位 于 美国 的 私营 公司 ， 以 提供 安全 有 关 的 软件 产品 以 及 认证 出 名 。 





译 者 注 
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国 DoS 攻击 的 种 类 
防火 墙 会 针对 各 类 不 同 的 Dog 攻击 做 出 防范 对 策 。 
表 5$-27 列 出 了 主要 的 DoS 攻击 种 类 


主要 的 DoS 攻击 种 类 








说 明 


























句 攻击 对 象 发 送 大 量 的 TCP SYN 分 组 ， 从 而 造成 服务 器 资源 过 度 消 耗 ， 一 段 时 间 内 不 能 提供 服务 
状态 




















青 内 定义 每 秒 人 允许 通 过 防火 墙 的 SYN 分 组 数量 ， 当 防火 墙 遇 到 网 络 中 SYN 分 组 超过 该 域 
， 便 会 执行 一 种 称 为 SYN Cookie 的 策略 来 应 对 。SYN Cookie 策略 中 当 服 务 器 收 到 来 自 客户 端 
9 SYN 分 组 时 ， 并 不 建立 TCP 连接 ， 而 是 将 TCP 首部 内 容 的 散 列 值 作为 序列 号 放 入 SYN-ACK 消 
息 中 返回 。 随 后 收 到 来 自 客 户 端 包含 正确 响应 编号 的 ACK 消息 时 ， 才 将 会 话 信 息 存储 在 内 存 中 。 
天 此， 能 够 有 效 防止 修改 了 首部 内 容 的 分 组 攻击 对 服务 器 内 存 的 消耗 















































































































































ICMP Flood 

















也 称 为 ping flood， 该 攻击 向 攻击 对 象 发 送 大 量 的 ICMP echo request 分 组 来 消耗 服务 器 内 存 ， 使 
得 服务 器 进入 暂时 无 法 提供 服务 的 状态 。 防 火 墙 通过 定义 1 秒 内 能 够 允许 的 最 大 ICMP 分 组 数量 ， 
对 于 超过 该 值 的 ICMP 分 组 暂时 不 予 处 理 
























































UDP Flood 






































该 攻击 向 攻击 对 象 发 送 大 量 的 UDP 分 组 来 消耗 服务 器 内 存 ， 使 得 服务 器 进入 暂时 无 法 提供 服务 的 
状态 。 防 火 墙 通过 定义 1 秒 内 能 够 允许 的 最 大 UDP 分 组 数量 ， 对 于 超过 该 值 的 UDP 分 组 暂时 不 
予 处 理 



































IP Flood 





























该 攻击 向 攻击 对 象 发 送 大 量 的 IP 分 组 来 消耗 服务 器 内 存 ， 使 得 服务 器 进入 暂时 无 法 提供 服务 的 状 
态 。 防 火 墙 通过 定义 1 秒 内 能 够 允许 的 最 大 IP 分 组 数量 ， 对 于 超过 该 值 的 IP 分 组 暂时 不 予 处 理 























Land 


























该 攻击 向 攻击 对 象 发 送 源 地 址 和 目的 地 址 相同 的 分 组 。 受 到 这 类 攻击 、 自 身 又 较为 脆弱 的 硬件 ， 会 
因为 不 断 向 自己 转发 数据 而 进入 当 机 的 状态 。 防 火 墙 对 于 收 到 的 这 类 分 组 一 律 丢 弃 













































































Tear Drop 


























该 攻击 向 攻击 对 象 发 送 经 过 伪造 的 ， 含 有 重 翅 偏 移 量 ( offset ) 的 非法 IP 分 组 碎片 。 这 类 攻击 对 
较为 脆弱 的 硬件 而 言 ， 会 发 生 无 法 重新 生成 分 组 的 现象 发 生 ， 导 致 当 机 的 状态 。 防 火 墙 对 于 收 到 这 
类 分 组 时 ， 一 律 丢 弃 















































Ping of Death 











该 攻击 向 攻击 对 象 发 送 超过 IP 分 组 最 大 长 度 65535 的 ping ( ICMP echo request ) 信 息 。 这 类 攻 
对 于 较为 脆弱 的 硬件 而 言 ， 会 导致 其 无 法 运行 的 情况 发 生 。 防 火 墙 对 于 收 到 的 这 类 分 组 一 律 丢弃 



































Smurf 














该 攻击 将 攻击 对 象 的 地 址 设置 为 发 送 源 地 址 ， 并 广播 发 送 ICMP Echo Request 消息 ， 使 得 攻击 到 
象 的 地 址 因 收 到 大 量 ICMP Echo Reply 消息 而 消耗 带宽 资源 
































fraggle 






























































属于 Smurf 攻击 的 子 类 型 ， 使 用 UDP 取代 ICMP 发 起 攻 讲 同时 利用 echo、Chargen、daytime、 
qotd 等 多 种 端口 。 防 火 墙 一 般 将 关闭 该 类 型 端口 或 使 策略 进行 拦截 作为 防范 对 策 

































































Connection Flood 




















反复 生成 大 量 长 时 间 为 open 状态 的 连接 ， 从 而 占据 攻击 对 象 的 套 接 字 ( socket ) 资 源 。 如 果 服 务 
器 端 没有 最 大 连接 数目 的 限制 ， 就 会 发 生 系统 崩溃 。 该 攻击 也 称 为 Unix 进程 控制 表 ( Unix process 
able ) 攻 击 






























































Reload 





























该 攻击 在 Web 浏览 器 中 连续 按 下 F5 键 ， 使 得 Web 页 面 反 复 执行 刷新 操 此 也 称 为 F5 攻 和 
在 Web ii 通信 较 大 时 ， 会 让 服务 器 负载 加 剧 
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国 DoS 防御 功能 

Dosg 的 防御 功能 也 就 是 限制 被 判定 为 Dog 攻击 的 异常 高 速率 通信 流量 的 功能 ， 一 般 通 过 设 
置 区 域 、 网 络 接口 、 网 络 等 单位 来 实现 。 

另外 ，Dos 防御 也 可 以 拦截 具有 非法 内 容 或 低 安全 性 的 分 组 ， 这 类 分 组 交 由 防火 墙 或 下 游 路 
由 器 处 理 的 话 ， 会 导致 额外 资源 的 浪费 (CPU 以 及 内 存 使 用 率 上 升 )， 因 此 需要 使 用 专门 的 DoS 
防御 功能 来 阻挡 该 类 攻击 。 














国 端口 扫描 防御 

攻击 者 在 发 起 攻击 前 ,会 对 攻击 对 象 的 硬件 情况 进行 调查 ， 这 时 最 为 基础 也 最 为 惯用 的 伎 
俩 便 是 端口 扫描 ( port scan )， 也 称 为 port sweep。 端 口 扫 描 大 人 致 分 为 TCP 端口 扫描 以 及 UDP 端 
口 扫描 两 大 类 ， 对 TCP 端口 以 及 UDP 端口 顺序 发 送 分 组 进行 通信 ， 从 而 探测 目标 机 器 是 否 
启 了 对 应 的 服务 。 例 如 某 台 设备 的 扫描 结果 为 开启 了 23 号 端口 ， 攻 击 者 便 会 得 知 该 设备 开启 了 
Telnet 服务 ， 从 而 可 以 利用 Telnet 服务 访问 该 设备 并 发 起 后 续 攻 击 。 

这 类 在 发 起 攻击 前 进行 的 信息 搜集 行为 也 称 为 “侦查 ”( Reconnaissance )。 

防火 墙 能 够 探测 出 端口 扫描 行为 的 存在 从 而 阻 断 该 行为 。 

表 5-28 总 结 了 主要 的 端口 扫描 类 型 。 


端口 扫描 类 型 





























名 称 内 容 





























TCP 端口 扫描 对 TCP 的 0 号 到 65535 号 端口 全 部 进行 扫描 ， 或 者 是 在 一 定 范围 内 扫描 端口 从 而 探测 服务 器 有 哪 
些 端 口 可 以 人 到 5-29 
习 描 过 程 是 向 端口 扫描 对 象 服务 器 发 送 TCP ( SYN ) 分 组 ， 如 果 收 到 了 响应 的 TCP ( SYN+ACK ) 分 
组 ， 则 判定 该 端口 处 于 打开 状态 。 如 果 该 端口 关闭 ， 则 会 从 服务 器 处 收 到 TCP ( RST+ACK ) 分 组 
SYN 端口 扫描 属于 TCP 端口 扫描 的 一 种 ， 无 需 完成 3 次 握手 过 程 ， 直 接 针 对 回复 消息 中 的 SYN 分 组 进行 端口 扫 
苗 ， 也 称 为 半 扫 描 ( half scan )。 在 3 次 握手 过 程 中 ， 根 据 服务 器 回复 的 是 ACK 消息 还 是 RST 消息 
来 判断 某 端 口 是 否 打 
ACK 端口 扫描 为 了 回避 防火 墙 对 SYN 端口 扫描 的 检测 ， 向 服务 器 发 送 ACK 分 组 ， 根 据 回 复 的 RST 分 组 窗口 尺 
断 端 口 开关 状态 ( 图 5-30 )。 该 类 型 端口 扫描 对 于 在 端口 打开 或 关闭 时 会 发 送 不 后 















































































































































































































































































































































































































































































































































































































































































































































寸 的 大 小 来 判 窗 
尺寸 分 组 的 服务 器 有 效 

Null 端口 扫描 句 服务 器 发 送 TCP 首部 所 有 标志 位 为 0 的 分 组 ， 通 过 服务 器 是 否 返 回 RST+ACK 分 组 消息 来 判断 
服务 器 端口 是 否 打 

FIN 端口 扫描 句 服务 器 发 送 FIN 分 组 ， 根 据 是 否 收 到 RST+ACK 分 组 来 判断 某 端 口 是 否 打 

Xmas 端口 扫描 句 服务 器 发 送 TCP 首部 标志 位 均 置 为 1 的 分 组 ， 根 据 是 否 收 到 RST+ACK 分 组 来 判断 某 端口 是 否 
打开 

UDP 端口 扫描 对 UDP 的 0 号 到 65535 号 端口 全 部 进行 扫描 ， 或 这 是 在 一 定 范围 内 扫描 端口 从 而 探测 服务 器 有 哪 
些 端 口 可 以 
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( 续 ) 














名 称 内 容 
Host Sweep 句 大 量 的 主机 发 送 ICMP 分 组 或 TCP 分 组 ， 如 果 获 得 应 答 则 根据 返回 的 应 答 消 息 判 断 主机 是 否 存 





























在 ， 并 获得 主机 上 都 运行 了 哪些 应 用 程序 等 信息 。TCP SYN Host Sweep 会 同时 向 多 台 主 机 的 相 
司 端口 发 送 TCP SYN 分 组 。sweep 在 这 里 有 “席卷 ”的 意思 





















































根据 TCP 端口 扫描 确认 端口 是 否 打开 的 方法 
TCP 端 口 打开 时 





发 送 广 三 次 握手 接收 广 














TCP 端 口 关 闭 时 
SYN 





RST+ACK 
针对 SYN 分 组 返 




















ACK 端口 扫描 


即使 防火 墙 丢 弃 了 SYN 分 组 ， 只 要 ACK 分 组 能 够 通过 防火 墙 ， 
同样 能 够 根据 返回 的 RST 分 组 来 判断 端口 是 否 打开 





接收 方 

















根据 RST 的 尺寸 来 判断 




















端口 是 否 打开 


05.07.08 ”防范 基于 分 组 的 攻击 


防火 墙 同样 能 够 防范 使 用 非法 分 组 这 类 基于 分 组 的 DoS 攻击 和 非法 入 侵 。 表 5-29 汇总 了 防 
火 墙 能 够 防范 的 非法 分 组 攻击 的 主要 类 型 。 
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与 防范 威胁 的 对 策 


基于 分 组 的 攻击 





攻击 类 型 


内 容 





IP 地 址 欺骗 ( IP Spoofing ) 














为 了 突破 限制 访问 的 防火 墙 过 滤器 以 及 避免 被 监控 日 志 记录 ， 伪 造 IP 首部 中 发 送 源 IP 地 












































址 的 攻击 方式 。 在 DoS 攻击 以 及 非法 入 侵 中 也 会 使 





































































































碎片 分 组 碎片 的 IP 分 组 由 于 安全 性 较为 脆弱 ， 容 易 被 用 于 攻击 ， 因 此 防火 墙 中 通常 会 设 总 截 碎 
片 分 组 功能 。 但 如 果 分 组 与 通信 和 链 路 MTU 大 小 一 致 ， 则 不 会 发 生 碎片 ， 该 功能 也 不 会 影 
响 正常 的 通信 

CMP 碎片 同 IP 碎片 分 组 类 似 ， 防 火 墙 也 设置 了 拦截 ICMP 分 组 碎片 的 功能 

巨型 ICMP 分 组 通过 设置 防火 墙 拦截 一 定 大 小 以 上 的 ICMP 分 组 ， 从 而 避免 Ping of Death 攻击 

















CMP 分 组 按 类 控制 























根据 ICMP 首部 中 的 类 型 以 及 代码 值 ， 对 ICMP 分 组 进行 区 别处 理 。 对 于 在 接收 到 的 消 
息 中 发 现 消 息 首部 出 现 了 未 预定 义 值 或 未 被 支持 客户 端 等 情况 时 ， 需 要 进行 额外 的 异常 
处 理 。 此 时 希望 通过 防火 墙 对 这 类 非法 的 ICMP 分 组 予以 拦截 




























































































SYN 以 外 的 TCP 分 组 控制 





TCP 会 话 开始 前 ， 必 会 发 送 SYN 分 组 。 如 果 在 尚未 确认 的 TCP 会 话 中 收 到 了 除 SYN 以 
外 的 标志 位 为 1 的 TCP 分 组 ， 很 有 可 能 就 是 端口 扫描 等 攻击 ， 这 时 就 需要 通过 防火 墙 拦 
截 该 类 分 组 


























IPv6 多 播 / 单 播发 送 源 地 址 




















IPv6 尚未 完全 普及 ， 也 可 能 存在 安全 漏洞 。 一 般 来 说 ， 会 有 目的 地 址 为 |Pv6 多 播 或 单 播 
地 址 的 通信 ， 但 如 果 出 现 发 送 源 为 该 类 型 地 址 时 ， 则 有 可 能 是 经 过 伪装 的 分 组 发 起 的 攻 
击 。 为 了 防止 意外 泄露 网 络 中 存在 使 用 1Pv6 主机 现象 发 生 时 ， 可 以 通过 防火 墙 拦截 发 送 
源 地 址 为 IPv6 单 播 或 多 播 的 分 组 






















































































05.07.09 基于 内 容 的 扫描 


2004 年 左右 ， 各 个 厂商 发 布 了 配 有 多 个 基于 内 容 扫 撒 功能 的 UTM 防火 墙 产品 。 基 于 内 容 是 











指 以 应 用 程序 数据 作为 防火 墙 的 监控 对 象 (文件 或 命令 )。 


国 IDS/IPS 


IDS ( Intrusion Detection System ) 即 入 侵 检 测 系统 ，IPS ( Intrusion Prevention System ) 即 入 侵 


防御 系统 ， 二 者 合 称 为 
的 非法 入 侵 行为 。 











IDS/IPS。 二 者 共同 的 Intrusion 是 指 怀 有 恶意 的 用 户 通过 网 络 或 终端 进行 








IDS 系统 负责 检测 非法 入 侵 并 告知 系统 管理 员 ， 而 IPS 系统 则 通过 设置 对 非法 入 侵 所 使 用 的 
协议 以 及 应 用 程序 进行 拦截 。 
二 者 还 能 够 对 路 由 器 访问 控制 列表 和 防火 墙 无 法 防范 的 伪装 性 正常 访问 予以 阻止。 
IDS/IPS 能 够 检测 出 下 列 威胁 。 





e DoS 攻击 
e P2P 造成 的 信息 泄 














。 运行 蠕虫 、 ee 键盘 记录 融 等 恶意 软件 
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e 人 侵 Intranet 与 人 侵 侦 查 行 ; 
另外 ， 当 IDS/IPS 检测 到 入 侵 行 为 后 ， 会 做 如 下 处 理 。 


e 通知 管理 员 ( 通过 电子 邮件 或 SNMP 等 方式 ) 
e 记录 日 志 
e 拦截 通信 ( 向 攻击 方 发 送 TCP RST 消息 ) 





国 Deep Inspection 

ScreenOS 带 有 名 为 ALG 的 Deep Inspection 功能 。 

防火 墙 的 Deep Inspection 功能 能 够 针对 表 5-30 中 列 出 的 应 用 层 协议 ， 重 组 ( assemble ) 应 用 
程序 数据 流 中 的 TCP 数据 段 ， 检 测 其 中 是 否 包 含 了 非法 应 用 程序 参数 。 

在 FTP 中 ， 还 能 够 通过 允许 /拒绝 策略 来 控制 GET 以 及 PUT 等 命令 级 别 的 操作 。 

对 于 由 SIP 或 H.323 这 类 多 协议 以 及 数据 流 组 成 的 应 用 程序 通信 ，Deep Inspection 功能 同 
样 可 以 识别 允许 通过 的 数据 流 并 动态 生成 防火 墙 针 孔 (pin hole )， 即 防火 墙 上 人 允许 数据 流通 过 
的 小 孔 (在 安全 策略 允许 的 前 提 下 )。 以 SIP 协议 为 例 ，IP 电话 的 语音 数据 通过 RTP ( Real-time 
Transport Protocol ) 协议 的 哪个 端口 号 来 完成 通话 终端 之 间 的 信息 交互 ， 是 在 SIP 会 话 控制 中 协 
商 的 。 这 时 防火 墙 即使 没有 设置 允许 RTP 使 用 的 端口 ， 但 只 要 设置 了 人 允许 SIP 端口 ， 就 会 在 语 
音 数 据 开始 传输 时 自动 打开 RTP 端口 供用 户 使 用 。 

在 能 够 基于 应 用 程序 识别 的 新 一 代 防 火 墙 中 都 能 完成 上 述 的 类 似 处 型 
实施 Deep Inspection 功能 的 协议 清单 
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APPLEICHAT 
SIP 

SOL 
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TALK 
TETR 




















IDS/IPS 以 及 Deep Inspection 均 能 够 检测 并 拦截 表 5-31 所 列 出 的 攻击 类 型 。 


IDS/IPS 能 够 检测 的 攻击 范例 





脆弱 性 攻击 类 型 说 明 


























信息 泄露 攻击 者 利用 带 有 恶意 脚本 的 邮件 或 附带 恶意 软件 的 URL 地 址 发 起 的 攻击 。 攻 击 成 功 的 话 ， 能 
够 获取 受 攻击 方 的 机 密 信息 
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脆弱 性 攻击 类 型 说 明 
执行 代码 向 服务 器 发 送 非 法 数据 ， 使 得 被 攻击 的 服务 器 接受 并 执行 位 于 远程 地 理 位 置 的 代码 
DoS 攻击 通过 发 送 大 量 分 组 使 被 攻击 服务 器 CPU、 内 存 负 担 上 升 ， 妨 碍 服务 器 ( 或 程序 ) 正 常 提 供 服 务 
的 攻击 
缓存 溢出 通过 恶意 程序 诱导 被 攻击 服务 器 运行 内 存 超过 上 限 ， 导 致 缓存 溢出 的 攻击 
( Buffer Overflow ) 
SQL 注入 针对 Web 应 用 程序 ， 使 用 数据 库 SQL 语言 对 数据 库 进行 非法 操作 的 攻击 
暴力 破解 也 称 为 循环 攻击 ， 使 用 密码 字典 等 工具 反复 尝试 管理 员 口 令 的 攻击 手法 。 为 了 防止 该 类 攻击 ， 
( Brute Force Attack ) | 需要 执行 类 似 于 口令 3 次 输 错 则 切断 会 话 的 策略 
压 站 脚本 攻击 简称 为 CSS 或 XSS。 利 用 Web 应 用 程序 的 脆弱 性 ， 在 提交 页 面 表单 时 ， 通 过 服务 器 执行 携带 





( Cross-site Scripting ) 










































































HTML 标签 的 脚本 ， 从 而 达到 劫持 会 话 或 钓鱼 的 目的 












































































































































































































































































































































exploit 攻击 利用 软件 脆弱 性 发 起 的 攻击 中 使 用 的 程序 或 脚本 
浏览 器 劫持 通过 操纵 携带 恶意 软件 的 浏览 器 ， 在 用 户 浏览 Web 页 面 时 自 改 显示 的 页 面 形 式 和 内 容 。 一 般 
会 导致 持续 弹出 广告 栏 、 自 动 添加 URL 连接 以 及 跳 转 其 他 网 页 失败 的 情况 
钓鱼 使 用 携带 伪造 官方 网 站 站 点 URL 链接 的 邮件 或 网 站 ， 骗 取 用 户 的 个 人 信用 卡 以 及 银行 账户 信息 
僵尸 网 络 通过 僵尸 程序 感染 多 台 个 人 计算 机 ， 并 根据 攻击 方 命令 同时 发 送 垃圾 邮件 和 实施 DoS 等 攻击 。 
主要 通过 使 用 IRC ( Internet Relay Chat ) 对 僵尸 下 达 进 攻 命 令 
® CVE 














IPS 和 Deep Inspection 一 般 会 给 检测 出 的 安全 脆弱 性 添加 CVE 标识 编号 。 
CVE ( Common Vulnerabilities and Exposures， 通 用 脆弱 性 标识 ) 是 由 美国 政府 支持 的 非 登 利 
机 构 MITRE 公司 采用 的 识别 标识 。 该 机 构 会 为 软件 以 及 设备 产品 发 现 的 安全 脆弱 性 问题 分 配 一 


个 CVE 识别 编号 (CVE-ID )， 当 安全 厂商 提供 多 个 脆弱 性 防范 对 策 时 ， 通 




















过 使 用 该 标识 告知 用 





户 某 对 策 针 对 的 是 哪个 安全 脆弱 性 问题 。CVE 标识 编号 如 表 5-32 所 示 ， 以 “CVE- (公元 纪年 ) - 
(4 字符 编号 》 的 格式 记录 ， 表 明 使 用 该 编号 的 安全 脆弱 性 问题 已 广为人知 。 


CVE 识别 编号 范例 




















CVE 识别 编号 














内 容 





CVE-2006-0900 


FreeBSD nfsd NFS Mount Request Denial of Service 





CVE-2007-2881 


Sun Java Web Proxy Server Buffer Overflow Vulnerability 





CVE-2009-1923 





国 反 病 毒 





Microsoft Windows WINS Service Heap Overflow Vulnerability 





反 病毒 也 称 为 防 病毒 对 策 ， 通 过 在 个 人 计算 机 和 服务 右上 安装 防 病毒 软件 来 保护 计算 机 人 免 














E 


壮 病 毒 侵 认 。 
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在 终端 安装 防 病毒 软件 的 方式 称 为 主机 型 防 病毒 。 

而 通过 设置 位 于 互联 网 网 关 的 防火 墙 以 及 专用 设备 ， 对 网 络 上 所 有 传输 的 通信 数据 进行 扫描 
的 方式 则 称 为 “网 关 型 防 病毒 ”。 使 用 网 关 型 防 病毒 ， 能 有 效 防止 Intranet 中 病毒 的 蔓延 以 及 作为 
跳板 攻击 网 络 的 发 生 。 

确认 是 否 存在 病毒 的 处 理 操作 称 为 扫描 ( scan ) 或 病毒 扫描 。 主 机 型 防 病毒 的 扫描 在 计算 机 
内 进行 ， 而 网 关 型 防 病 毒 的 扫描 在 通信 流量 中 完成 。 二 者 的 比较 结果 如 表 5-33 和 表 5-44 所 示 。 


网 关 型 防 病毒 的 优点 与 主机 型 防 病毒 的 缺点 
网 关 型 防 病毒 的 优点 主机 型 防 病毒 的 缺点 


能 够 对 所 有 客户 端 实施 相同 的 策略 客户 机 PC 以 及 虚拟 PC 无 法 采用 相同 的 安全 策 
一 针对 客户 机 PC 以 及 虚拟 PC 的 对 策 


不 依赖 客户 端的 操作 系统 很 难 应 用 于 停止 支持 或 不 支持 的 操作 系统 
一 即使 操作 系统 停止 支持 ， 也 不 影响 扫描 的 进行 


节省 了 为 客户 端 安装 软件 以 及 升级 软件 的 麻烦 所 有 的 客户 端 都 需要 安装 软件 ， 耗 费 精力 
无 法 主观 停止 扫描 过 程 明 户 可 以 主观 停止 扫描 或 升级 


能 够 防止 来 自 内 部 客户 端的 病 然 能 够 扫描 外 部 流入 数据 ， 但 对 于 已 
| 无 法 检测 
能 够 通过 网 关 设 备 对 日 志 、 报 告 等 实施 统一 化 管理 志 等 保存 在 各 台 PC 上 ， 统 一 化 管理 需 他 系统 支持 
































































































































































































































































































































主机 型 防 病毒 的 优点 与 网 关 型 防 病毒 的 缺点 

主机 型 防 病毒 的 优点 网 关 型 防 病毒 的 缺点 
不 依赖 于 具体 的 通信 协议 不 支持 所 有 的 通信 协议 
一 Palo Auto 公司 产品 支持 FTP、HTTP、IMAP、POP3、 
SMB、STMP 协议 的 解码 
一 其 他 厂商 仅 支持 FTP、HTTP 以 及 电子 邮件 协议 
所 有 接收 的 文件 进行 扫描 无 法 对 所 有 文件 进行 扫描 
具体 安装 的 操作 系统 进行 定制 扫描 OO 












































































































































防 病 毒 软件 扫描 通过 防毒 引 苟 (engine ) 程序 完成 ， 防 毒 引 擎 使 用 名 为 “特征 签名 ”( signature ) 
或 “病毒 定义 文件 ”的 数据 库 ， 判 断 在 扫描 对 象 中 是 否 存 在 已 经 被 注册 过 的 病毒 等 。 表 5-35 列 
出 了 防毒 软件 所 能 检测 的 病毒 (恶意 软件 ) 类 型 。 


防毒 软件 能 够 检测 的 恶意 软件 类 型 









































恶意 软件 说 明 
病毒 ( 计算 机 病毒 ) 通过 Web 站 点 以 及 电子 邮件 附件 等 入 侵 计算 机 系统 ， 趁 用 户 未 察觉 之 际 ， 修 改 计算 机 运 


























行 方式 的 程序 。 病 毒 入 侵 计 算 机 称 为 “感染 "， 会 造成 显示 画面 异常 以 及 磁盘 文件 损坏 等 
现象 。 病 毒 程序 能 够 自我 运行 ， 自 我 复制 ( 繁殖 ) 
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( 续 ) 
恶意 软件 说 明 

蠕虫 反复 自我 繁殖 并 破坏 数据 的 程序 。 病 毒 只 感染 程序 文件 ， 而 蠕虫 则 能 够 存在 于 Word、 
Excel 文档 的 内 部 ， 并 能 通过 发 送 附带 感染 文档 的 电子 邮件 来 进行 繁殖 

寺 洛 伊 木马 擅 装 成 合法 文档 的 破坏 程序 。 利 用 互联 网 上 可 免费 下 载 的 共享 软件 诱导 用 户 下 载 带 有 木 
马 的 应 用 程序 。 同 病毒 不 同 的 是 ， 木 马 程序 自身 不 会 繁殖 。 如 果 运 行 了 含有 木马 的 恶意 
程序 ， 则 会 造成 数据 损失 或 被 资 用 的 严重 后 果 

间谍 软件 和 将 用 户 个 人 计算 机 内 部 信息 以 及 Web 浏览 器 访问 的 历史 记录 在 没有 得 到 用 户 许可 的 前 
提 下 ， 擅 自 向 第 三 方 发 送 的 程序 。 通 过 间谍 软件 盗 取 的 用 户 信息 ， 可 能 会 用 于 在 线 广告 
义 及 调查 统计 等 领域 

广告 软件 在 用 户 画 面 中 强制 弹出 广告 的 程序 。 英 文 为 adware，ad 表示 广告 (advertisement )。 有 
时 仅仅 是 普通 的 广 等 有 时 则 是 可 以 使 的 免费 软件 

恶意 软件 病毒 、 蠕 虫 、 特 洛 伊 木 马 、 间 谍 软 件 、 广 告 软件 这 类 带 有 “恶意 ”的 程序 ( 软件 ) 总 称 。 



































英语 为 malware，mal 前 缀 表示 怀 有 恶意 的 意思 。 软 件 以 及 硬件 如 果 带 有 “恶意 软件 防 
范 ” 的 宣传 字样 则 表示 能 够 防范 恶意 软件 带 来 的 损害 。 也 可 以 称 为 不 良 软件 ( badware ) 
犯罪 软件 义 犯 罪 为 目的 编写 并 使 用 的 软件 
键盘 记录 软件 于 记录 键盘 输入 内 容 的 软件 。 原 本 该 类 软件 在 Telnet 等 用 于 确认 发 送 命令 ,但 后 来 也 
被 用 于 盗 取 用 户 信 用 卡 账 号 、 密 码 等 不 良 用 途 。 一 般 隐 蔽 安装 在 网 吧 等 不 特定 多 人 使 用 
的 计算 机 中 记录 信息 并 生成 报告 














































































































































































































































































































































































































屏幕 记录 软件 一 定时 间 间 隔 内 ， 定 期 捕获 屏幕 画面 ( screen shot ) 的 软件 。 该 类 软件 还 会 将 捕获 的 画 
义 电子 邮件 的 形式 发 送 ， 常 用 于 盗 取 网 络 银行 密码 等 

后 门 软件 ( rootkit ) 入 侵 服 务 器 等 系统 的 破解 者 在 实施 恶意 操作 时 使 用 的 工具 的 集合 。 对 于 恶意 软件 不 时 针 
对 “安全 漏洞 ”发 起 的 进攻 ， 和 希望 用 户 能 够 及 时 安装 最 新 补丁 来 予以 避免 


e 基于 文件 和 基于 数据 流 的 网 关 型 防 病毒 

网 关 型 防 病毒 可 以 分 为 两 类 ， 一 类 是 基于 文件 (代理 ) 型 ， 另 一 类 是 基于 数据 流 型 (flow )。 

基于 文件 型 会 将 作为 扫描 对 象 的 文件 数据 存在 缓存 中 ， 等 待 扫 描 对 象 全 部 传输 完毕 才 会 自动 
开局 扫描 。 

基于 数据 流 型 是 新 型 防 病毒 方式 ， 无 需 等 竺 文件 整体 接收 完毕 ， 而 是 接收 到 文件 开头 部 分 的 
分 组 时 便 能 立刻 开启 扫描 。 扫 描 结束 后 转发 文件 时 ， 也 同样 无 需 等 竺 文件 整体 扫描 结束 ， 而 是 直 
接 将 完成 扫描 的 分 组 直接 转发 即 可 。 该 类 型 同 基于 文件 型 扫描 相 比 ， 等 待 时 间 大 幅 缩 短 ， 实 现 的 
延迟 很 低 (图 5-31 )。 
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基于 数据 流 型 同 基于 文件 型 的 延迟 比较 
接收 有 效 载 荷 
扫描 有 
有 有 天 


“< 迁 表 > 
数据 流 型 


























接收 有 效 载 向 | 
民有 有效 基 等 
用 应 有 效 塌 区 
延迟 
基于 文件 型 

















基于 数据 流 型 的 优点 与 基于 文件 型 的 缺点 
基于 数据 流 型 的 优点 基于 文件 型 的 缺点 
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。 能 够 进行 高 速 扫描 3 描 耗费 时 间 





。 高 吞吐 率 、 低 延迟 氏 吞吐 率 、 高 延迟 
。 扫描 能 够 不 受 文件 大 小 限制 习 描 受 文件 大 小 尺寸 限制 
启发 式 扫描 ( heuristic scan ) 误 检 率 很 高 








基于 文件 型 的 优点 与 基于 数据 流 型 的 缺点 


























































































































基于 文件 型 的 优点 基于 数据 流 型 的 缺点 
e 能 够 支持 zip/gzip 以 外 的 压缩 算法 e 不 支持 zip/gzip 以 外 的 压缩 算法 
。 能 够 解压 展开 深层 级 目录 e 通 过 压缩 算法 也 只 能 够 展开 较 小 层级 的 目录 ( Palo Alto 
。 能 够 复原 整个 文件 扫描 Networks 产品 中 也 最 多 只 能 展开 2 层 ) 
一 执行 启发 式 扫描 














基于 文件 的 网 关 型 防 病毒 装置 同 基于 数据 流 型 的 装置 相 比 ， 虽 然 能 够 扫 撒 更 多 的 文件 ， 但 仍 











无 法 扫描 那些 附带 密码 、 加 密 、 不 支持 协议 等 文件 ， 因 此 这 些 文件 还 是 需要 通过 客户 端 上 的 主机 























型 防 病毒 来 进行 扫描 ( 表 5-37 )。 


基于 文件 型 的 装置 是 耗费 CPU 资源 对 积累 并 复原 的 文件 进行 扫描 ， 因 此 设备 的 吞吐 率 一 
般 只 能 维持 在 几 M 到 几 百 Mbit/s 之 间 ， 不 得 不 说 这 是 一 个 缺点 。 另 外 ,在 遇 到 大 文件 时 ， 从 扫 








描 启 动 到 扫描 结束 也 需要 花费 几 分 钟 到 几 十 分 钟 不 等 ， 在 这 期 间 用 户 无 法 使 用 文件 ， 
下 载 文件 也 需要 耗费 大 量 时 间 。 另 外 ， 如 果 不 同 时 使 用 基于 web 浏览 器 的 重 定向 探 人 











从 网 关 处 
判 或 ICAP 


Trickle" 等 回避 手段 ， 就 会 导致 在 网 关 扫描 期 间 ， 端 到 端的 会 话 丢 失 ， 从 而 永远 无 法 获取 目标 文 





四 本 质 上 是 利用 在 HIT message 上 执行 RPC 远程 过 程 调用 ， 通 过 ICAP 协议 进行 数据 的 分 流 。 





译 者 注 
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件 ， 这 样 的 风险 同样 需要 引起 用 户 注意 。 


国 反 垃 圾 邮件 

垃圾 邮件 是 指 骚扰 邮件 (spam mail)、 广 告 邮件 和 坎 诈 邮件 等 ， 很 多 产品 提供 了 过 滤 这 类 二 
圾 邮件 的 反 垃 圾 邮件 功能 。 

虽说 该 功能 同 基于 内 容 的 扫描 如 出 一 红 ,但 反 垃圾 邮件 很 容易 引发 误 检 。 如 果 将 非 骚 扰 邮 件 
归档 到 了 骚扰 邮件 中 ， 则 有 可 能 丢弃 了 本 应 该 接收 的 邮件 ， 这 一 点 必须 引起 注意 。 





国 DLP 
DLP 是 Data Loss Prevention 或 Data Leak Prevention 的 缩写 ， 即 防范 信息 泄露 功能 。 
该 功能 检测 网 络 上 交互 的 应 用 程序 数据 内 容 ， 当 发 现存 在 特定 文件 或 数据 时 ， 及 时 执行 告 
、 崭 开会 话 、 记 录 日 志 等 操作 。 
对 于 机 构 而 言 ， 该 功能 还 可 以 识别 该 机 构 机 密 数 据 的 文字 序列 、 文 件 名 以 及 文件 类 型 等 ， 防 
止 机 密 数 据 从 内 部 泄露 到 外 部 。 

有 些 产品 还 能 够 应 用 该 功能 ， 对 于 来 自 外 部 人 侵 的 或 内 部 之 间 转 发 的 恶意 软件 ( 可 执行 文 
件 ) 及 时 予以 检测 、 删 除 并 告知 用 户 。 

该 功能 最 主要 由 “文件 过 滤 ” 与 “数据 过 滤 ” 两 大 部 分 组 成 。 
DLP 功能 
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功能 说 明 
文件 过 滤 通过 检测 会 话 内 交互 的 文件 信息 ， 阻 拦 不 必要 文件 的 流入 和 涉 密 文件 的 流出 。 一 般 对 文件 
的 名 称 、 扩 展 名 、 文 件 内 部 数据 进行 解析 后 分 类 ， 从 而 判断 文件 是 否 有 必要 阻拦 
数据 过 滤 通过 检测 会 话 内 交互 的 数据 信息 ， 发 现 匹 配 特定 关键 字 的 数据 便 予 以 丢弃 或 告警 




















国 URL 过 滤 

URL 过 滤 功 能 是 指 在 HTTP 通信 中 ， 当 客户 端 向 服务 器 发 起 请 求 时 ， 能 够 对 URL 信息 进行 
检查 ， 判 断 该 URL 是 否 能 够 访问 ， 并 对 不 友好 的 Web 站 点 予以 拦截 的 功能 ， 通 常 作为 通用 服务 
器 上 的 软件 、 专 用 装置 、 防 火 墙 装置 以 及 代理 服务 器 的 功能 之 一 提供 给 用 户 。 


























例如 ， 提 供 移动 通信 服务 的 运营 商 同 用 户 签署 了 禁止 向 未 成 年 人 提供 有 害 站 点 访问 的 服务 条 
款 ， 该 条 款 的 具体 实现 就 是 通过 URL 过 滤 功 能 完成 的 。 

男 外 ， 普 通 公 司 、 学 校 等 地 方 会 有 禁止 用 户 访问 与 工作 、 学 业 无 关 站 点 的 规定 ， 或 者 需要 禁 
止 防 问 钩 鱼网 站 、 易 被 蠕虫 病毒 等 感染 的 网 站 时 ， 这 类 控制 也 会 通过 URL 过 滤 实 现 。 

URL 过 滤 功 能 分 为 “数据 库 型 ”和 “ 云 服务 型 ”两 大 类 。 

数据 库 型 URL 过 滤 使 用 了 称 为 URL 信息 目录 的 群 组 分 类 数据 库 。 管 理 员 通过 设置 禁止 访问 
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URL 类 别 ， 








称 为 “日 名 单 ”， 


[= 
里 





现 的 。 因 此 ， 


便 能 够 在 用 户 访问 这 类 URL 地 址 时 向 用 户 弹 出 告警 信息 
管理 员 同 样 色 et td 息 进 
能 访问 的 URL 数据 库 则 称 为 “ 黑 名 单 ”。 
然 数据 库 和 en 但 同时 拥有 世界 上 所 有 的 URL 信息 在 物理 
后 来 针对 这 类 问题 新 开发 了 云 服务 型 的 URL 过 滤 。 




















云 服务 


型 的 URL 过 滤 中 ， 服 务 供应 商 负 
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进行 URL 过 滤 。 





Co 


这 时 ， 
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层面 上 是 无 法 实 





责 控 制 互 联网 上 的 分 类 服务 需 并 向 服务 需 发 送 用 户 










































































































































































































































































































































































































































































































































































































































































































































































































































































请 求 的 URL 数据 。 分 类 服务 器 根据 收 到 的 URL 数据 ， 对 实际 Web 站 点 访问 的 内 容 进行 确认 ， 
并 厌 此 分 类 。 
05.07.10 监视、 报告 功能 
监视 功能 是 防火 墙 的 重要 功能 之 一 ， 表 5-39 列 出 了 监视 功能 的 几 个 方面 。 
EE 到” 防火 墙 的 监视 功能 
监视 ( monitoring ) 对 网 络 以 及 网 络 设 备 的 实时 状态 予以 监视 ， 及 时 观测 通信 流量 状态 以 及 故障 信息 。 
当 发 生 故 障 、 异 常情 况 以 及 出 现 预定 义 事件 时 ， 能 够 即使 告警 通知 管理 员 
告警 通知 ( alerting ) 属于 监视 功能 的 一 个 部 分 ， 发 生 故 障 以 及 出 现 预定 义 事件 时 ， 向 管理 员 进 行 告警 
通知 。 告 警方 式 可 以 是 发 送 SNMP Trap、 向 Syslog 服务 器 发 送 syslog 通信 以 及 
向 指定 服务 器 发 送 电子 邮件 等 
日 志 获 取 ( logging ) 记录 流 事件 日 志 等 各 类 日 志 的 功能 。 根 据 不 同 的 防火 墙 产 品 ， 日 志 能 够 导 
出 为 纯 文本 格式 、 6 本 烙 翅 PDF 格式 等 不 同 格式 
日 志 种 类 说 明 
通信 流 志 记录 依据 安全 规则 允许 或 拒绝 的 通信 。 一 般 在 会 话 结束 时 记 
( 会话 ) 录 ， 一 个 会 话 占据 日 志 的 一 行 。 
AV 日 志 、IPS 日 志 、| 属于 通信 流 志 的 一 种 ， 记 录 由 反 病 毒 、IPS、URL 过 滤 等 
URL 过 滤 日 志 等 各 种 安全 功能 检测 出 的 恶意 软件 以 及 目的 地 URL 地 址 信息 等 。 
事件 日 志 用 于 记录 类 似 网 络 接口 开 闭 、 签 名 获取 情况 、VPN 连接 情况 
( 系统 日 志 ) 等 系统 发 生 的 各 类 事件 的 日 志 。 其 中 包括 系统 事件 发 生 的 时 
间 、 重 要 级 别 、 事 件 种 类 、 事 件 内 容 等 。 
设 志 管理 员 变 更 设备 设置 时 记录 的 日 志 。 有 时 在 事件 日 志 中 同样 
也 会 包含 相关 内 容 。 
报告 ( reporting ) 通过 WebUl 对 收集 的 日 志 进 行 加 工 处 理 ， 从 而 向 管理 员 提 供 显而易见 的 图 表 等 信 
息 。 有 的 产品 还 能 够 将 报告 结果 以 PDF 的 格式 导出 。 有 些 防 火 墙 设备 不 是 提供 报 
告 导 出 功能 ， 而 是 采用 预先 配备 的 管理 服务 器 接收 防火 墙 传输 过 来 的 Syslog 形式 
志 ( 包含 通信 流 志 ) 或 专用 格式 日 志 ， 在 管理 服务 器 上 展示 报告 
同 报告 功能 相关 的 男 一 部 分 便 是 将 防火 墙 设备 生成 的 告警 及 日 志 等 传输 至 管理 服务 器 。 管 理 服 
务 器 可 以 是 由 防火 墙 设备 厂商 提供 的 专用 硬件 产品 ， pe 品 ( 表 5-40 )。 
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ED) 主要 设备 厂商 提供 的 专用 管理 产品 
Cisco ASDM ( Adaptive Security Device Manager ) 





ASA 系列 使 用 





Juniper NSM ( Network and Security Manager ) 














SSG/SRX 系列 使 














Palo Alto Panorama 











PA 系列 使 











Check Point Horizon Manager/Network Voyager 




















IP 系列 使 











Fortinet FortiAnalyzer/FortiManager 


05.07.11 分 组 捕获 











Fortigate 系列 使 用 


有 些 安全 设备 产品 提供 了 分 组 捕获 的 功能 。 
捕获 的 分 组 可 以 放 在 设备 上 浏览 ， 也 可 以 导出 为 WinPcap 格式 的 pcap 文件 在 Wireshark 这 


类 应 用 程序 中 进行 浏览 (图 5-32 )。 








当 发 生 通信 故障 时 ， 可 以 根据 所 捕获 的 分 组 信息 进行 进一步 的 分 析 。 


ER 歼 ”Wireshark 











| sport dport 















7 2 351435 65. 55.223.19 192.155.5.5 


9 2. 962184 65.55.223.19 192.168.5.5 


11 3.142998 65.55.223.19 192.168.5.5 


14 5.486811 10.0.0.190 192.168.5.5 


16 10. 551012 192.168.5.254 192.168.5.5 


17 10.725094 。 192.168.5.254 192.168. 5.5 107 App1i 


no Pr po 
50 40005 > 5065T [PSn, ACK] Seq-l ACT WIIZ6 LerSTCP 40005 30531 








64 40006 > 30631 [PSH, ACK] 5eq=4 Ack=1 Wir-126 Len=1TCP 40006 30631 





60 40006 > 30631 [ACK] Seq-14 Ack=5 Win-126 Len-0 TCP 40006 30631 


66 pds > 30935 [ACK] Seq-1 Ack-2 Win-64424 Len-0 SLE-TCP 9595 10935 


A 















tes 
5 Field; Ox00 (DscP 







o 
0x639e (25502) 
Fragment) 


.168. 5.5 (192.168.5.5) 
: 59.106.160.10 (59.106.160.10) 








ox00: Default; ECN 









































@ | Frame (frame), 54 bytes 





05.07.12 ”虚拟 路 由 器 


Packets: 17 Displayed: 17 Markad: 0 Dropped: 0 





几乎 所 有 的 防火 墙 均 实现 了 病态 路 由 和 动态 路 由 的 功能 。 在 防火 墙 中 实施 路 由 选择 的 功能 特 











座 























生 称 为 虚拟 路 由 器 ， 表 示 位 于 防火 墙 中 存在 虚拟 的 路 由 咒 。 





妆 使 用 多 个 虚拟 路 由 器 时 ， 即 使 遭 到 某 个 攻击 导致 数据 被 算 改 或 窃听 ， 也 不 会 对 其 他 虚拟 路 


由 器 造成 影响 ， 能 够 进一步 提高 网 络 的 安全 性 。 另 外 ， 通 过 每 生成 一 个 虚拟 防火 墙 ， 


同一 子 网 地 址 的 物理 网 络 端口 。 
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都 能 够 复 用 
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05.07.13 ”虚拟 防火 墙 





高 端的 防火 墙 产品 还 能 够 提供 虚拟 防火 墙 的 功能 。 虚 拟 防火 墙 也 成 为 虚拟 系统 (VSYS， 
Virtual System )， 能 够 在 1 台 物 理 设 备 上 虚拟 出 多 个 逻辑 防火 墙 在 网 络 中 使 用 。 

其 中 每 一 个 逻辑 防火 墙 均 使 用 附带 IEEE 802.1q 标签 的 VLAN 子 接口 进行 分 割 。 分 割 后 的 逻 
辑 防 火 墙 可 以 同时 使 用 相同 的 私有 地 址 ， 也 能 对 同一 触发 对 象 预 定义 不 同 的 执行 行为 。 

虚拟 放火 墙 主要 用 于 网 络 服务 供应 商 同时 为 多 个 企业 提供 企业 防火 墙 服务 的 业务 中 。 
























































05.08 决定 防火 墙 性 能 的 要 素 


05.08.01 同时 在 线 会 话 数 











防火 墙 通过 管理 会 话 表 ， 以 会 话 为 单位 来 控制 通信 流量 。 会 话 表 能 够 记录 的 表 项 数目 表明 了 
该 防火 墙 能 够 处 理 的 同时 在 线 会 话 (也 称 为 同时 连接 会 话 ) 数量 。 

桌面 型 小 型 防火 墙 设 备 一 般 能 够 管理 几 万 个 会 话 ， 而 通信 服务 供应 商 使 用 的 防火 墙 设备 一 
般 能 够 同时 管理 数 百 万 个 会 话 。 















































05.08.02 NAT 表 数 目 


根据 设备 厂商 的 不 同 ， 某 些 厂商 的 路 由 器 或 防火 墙 产品 会 分 别 携带 维护 会 话 表 和 NAT 表 。 
NAT 表 的 数量 用 来 表示 “同时 在 线 NAT 的 会 话 数 "， 该 数值 也 意味 着 设备 所 能 支持 建立 NAT 会 
话 数目 的 最 大 值 。 

没有 给 出 NAT 表 数 目 上 限 的 防火 墙 ， 一 般 就 是 使 用 会 话 数 的 上 限 以 及 内 存 的 上 限 来 表示 
NAT 会 话 数 的 上 限 情 况 。 

除了 NAT 表 数 目 以 外 还 有 “NAT 规则 数目 ”这 一 指标 。NAT 规则 ， 以 发 送 源 与 发 送 目的 地 
网 络 地 址 组 合作 为 条 件 ， 能 够 指定 静态 NAT、 动 态 NAT、1 对 1 的 NAT 或 者 NAPT 等 操作 。 其 
中 用 来 说 明 这 条 NAT 规则 的 表 项 数 就 是 NAT 规则 数目 。 

另外 ,在 设置 计算 时 还 要 注意 动态 NAT 中 卫 地 址 池 的 数量 同样 有 限 。 

对 于 NAT 处理， 小 型 路 由 器 只 通过 CPU 来 完成 ， 因 此 会 对 设备 的 吞吐 率 有 一 定 影响 ， 但 更 
为 高 端的 路 由 器 则 是 使 用 硬件 进行 NAT 处 理 ， 因 此 不 会 出 现 吞 吐 率 低 下 的 情况 。 
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05.08.03 每 秒 新 建 的 会 话 数目 


路 由 器 的 性 能 一 般 使 用 每 秒 能 够 传输 的 bit 数 bit/s 和 每 秒 能 够 转发 的 分 组 数 pps 这 两 个 参数 
来 描述 。 

而 防火 墙 还 需 增 加 一 条 每 秒 能 够 建立 的 会 话 数 ( new session per second ) 这 一 参数 指标 。 例 
如 在 状态 检测 型 防火 墙 ( stateful inspection ) 中 ， 该 指标 表示 在 1 秒 内 能 够 完成 多 少 次 完整 的 会 话 
建立 过 程 。 其 中 ，1 个 完整 的 会 话 建立 过 程 包括 : 监控 TCP 连接 的 3 次 握手 ,握手 正常 则 生成 会 
话 信息 ， 将 信息 记录 至 会 话 表 等 一 系列 操作 。 

每 秒 新 建 会 话 值 一 般 仅仅 针对 TCP 会 话 为 统计 对 象 ， 因 此 也 可 以 引入 另 一 个 指标 来 表示 在 

秒 内 能 够 完成 会 话 从 建立 到 结束 的 次 数 ， 该 指标 名 为 每 秒 连接 数 ( connection per second )。 
其 他 同 防火 墙 性 能 相关 的 指标 可 以 参考 本 书 第 7 章 中 的 每 秒 完成 事务 ( transaction ) 数量 等 。 



































05.09 同 信 息 安 全 范畴 相关 的 标准 


05.09.01 ISCA 





企业 或 政府 引入 安全 产品 时 ， 有 时 会 以 产品 需 通 过 ISCA ( International Computer Security 
Association， 国 际 计算 机 安全 协会 ) 的 相关 认证 作为 前 提 条 件 。 

ICSA 认证 是 指 ICSA Labs 对 安全 类 产品 或 服务 进行 的 统一 标准 的 认定 。 

安全 设备 厂商 往往 会 委托 ICSA Labs 进行 相关 测试 ， 如 果 产 品 合格 即 通过 ISCA 认证 。 

测试 内 容 按照 每 项 安全 技术 内 容 依次 进行 ， 通 过 认证 的 产品 均 能 够 在 ISCA Labs 官方 网 站 上 
记录 。 表 5-41 列 出 了 ISCA 认证 的 主要 技术 分 类 


ISCA 认证 的 主要 技术 分 类 
反 恶 意 软件 IPS 
反 间 谍 软 件 SSL-TLS 
反 病 毒 Web 应 用 程序 防火 墙 
IPsec 防火 墙 





















































以 ISCA 认证 IPsec 人 ， 由 于 经 由 ISCA 认证 的 网 络 硬件 之 间 可 以 不 分 具体 的 生 
成 厂商 ， 做 到 无 缝 互联。 因此 是 否 通 过 ISCA 认证 往往 在 很 多 场合 成 为 应 急 按 钮 采购 方 对 候选 硬 
件 进行 甄选 而 关注 的 参考 材料 之 一 。 

ISCA Labs 前 身 为 1989 年 成 立 于 美国 的 NCSA ( National Computer Security Association ， 国 家 
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计算 机 安全 鞋 花 ) 组 织 , 1998 年 正式 更 名 为 SCA”, 2004 年 成 为 美国 Cybertrust 公司 的 一 个 部 门 ， 
而 2007 年 随 着 Cybertrust 公司 的 被 收购 又 成 为 Verizon Business 公司 的 一 个 子 部 门 。 


05.09.02 FIPS 


FIPS ( Federal Information Processing Standard， 联 邦 信息 处 理 标准 ) 是 由 美国 联邦 政府 开发 
的 信息 通信 硬件 相关 标准 。 对 于 网 络 硬件 的 认证 内 容 如 表 5-42 所 示 。 该 标准 由 NIST ( National 
Institute of Standards and Technology， 美 国 国家 标准 技术 研究 所 ) 负责 起 草 ， 其 中 有 多 项 条 款 同 信 
息 安 全 标准 有 关 。 除 军事 机 关 以 外 的 美国 政府 以 及 关联 组 织 必 须 采 用 符合 FIPS 标准 认证 的 产品 。 
以 防火 墙 为 代表 ， 各 类 设备 厂商 提供 的 安全 设备 都 需 完 成 FIPS 认证 。 日 本 政府 以 及 相关 组 织 没 
有 特别 规定 必须 选择 FIPS 相关 产品 。 


全 尘世 罗 ”FIPS 的 认证 内 容 















































FIPS 标准 说 明 
FIPS 46-3 DES 加 密 
FIPS 140-2 加 密 模块 产品 的 认证 标准 与 通过 认证 的 产品 清单 
有 PS T71 ANSI X.9.17 密 钥 交换 
FIPS 180-2 散 列 函数 ( SHA-1、SHA-256、SHA-386、SHA-512 ) 
FIPS 197 AES 加 密 





05.09.03 ISO/IEC 15408 ( 公共 标准 ) 








1983 年 美国 NSA (National Security Agency， 美 国 国家 安全 局 ) 下 属 的 NCSC ( National 
Computer Security Center， 国 家 计算 机 安全 中 心 ) 制定 了 军用 计算 机 产品 采购 的 评估 标准 
TCSEC (Trusted Computer System Evaluation Criteria )， 该 标准 说 明 书 的 封面 为 桔 红 色 因 此 也 被 
称 为 桂皮 书 。 

上 世纪 90 年 代 ， 欧 洲 各 个 国家 均 制 定 了 信息 安全 评估 标准 或 相关 认证 制度 ， 唯 有 通过 认证 
的 产品 方 能 进入 军 方 以 及 政府 机 关 的 信息 安全 产品 采购 范围 。1991 年 ， 英 国 、 德 国 、 法 国 与 荷 
兰 4 国 开 始 实 施 全 欧洲 统一 的 ITSEC ( Information Technology Security Evaluation Criteria， 信 息 技 
术 安 全 评估 准则 ) 标准 。 

基于 这 些 安全 认证 规范 ,加 拿 大 、 法 国 、 德 国 、 和 荷兰 、 英 国 和 美国 6 国 又 开始 启动 制定 适用 
范围 更 广 的 公共 标准 (Common Criteria ) 工程 ， 并 于 1996 年 发 布 了 公共 标准 版 本 1。 到 了 1998 
年 ， 公 开标 准 版 本 2.1 发 布 ， 并 在 1999 年 被 认定 为 由 国际 标准 ISO/EC 15408”。 





















































Ee 











中 区 别 于 日 本 儿童 网 络 色情 防范 管理 组 织 ICSA ( Internet Content Safety Association )。 
@@ ”该 标准 对 应 日 本 于 2000 年 发 布 的 JIS X 5070 标准 ， 目 前 已 废止 。 
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虽然 公共 标准 是 通用 的 评价 标准 体系 ， 但 必须 使 用 CEM ( Common Evaluation Methodology， 
公共 评价 方法 ) 作为 其 评价 方法 。 目 前 (2011 年 )， 该 标准 为 CC/CEM 版 本 3.1 release 3。 

通过 ISO/IEC 15408 认证 的 产品 会 在 公开 标准 的 门户 站 点 公布 ， 日 本 还 可 以 参考 IPA 
(Information-tech Promotion Agency ) 的 官方 站 点 。 考 虑 到 IT 投资 减 税 的 政策 ( 中 小 企业 基础 设 
施 强化 税收 制度 )%, 企业 或 公共 团体 等 特别 是 在 采购 安全 类 设备 时 , 需要 将 该 设备 是 否 通过 认证 
作为 甄选 采购 设备 的 参考 标准 之 一 。 


国 EAL 


EAL (Evaluation Assurance Level， 评 佑 保证 级 别 ) 定义 了 公共 标准 ( Common Criteria ) 中 
的 7 级 安全 保障 评 佑 级 别 。 评 佑 保障 级 别 用 来 表示 实现 装置 的 安全 性 能 和 可 信 程 度 的 高 低 ( 表 
5-43 )。 数 字 越 大 表示 级 别 越 高 ， 上 位 级 别 包含 了 下 位 级 别 的 所 有 要 求 。EAL1 至 EAL3 用 于 民 
用 ，EAL4 用 于 政府 机 关 ，EALS5 以 上 用 于 军队 以 及 政府 的 高 度 机 密 机 构 。 

在 日 本 ， 防 火 墙 这 类 安全 产品 一 般 由 美国 、 欧 洲 、 以 色 列 厂商 提供 的 产品 为 主 ， 占 据 市 场 
份额 高 的 产品 往往 都 通过 了 公共 标准 的 认证 ， 基 本 都 符合 EAL 标准 中 EAL2 或 EAL4 的 程度 。 
EAL2 需要 花费 5-10 个 月 时 间 获 得 ， 而 EAL4 则 需 花费 10-25 个 月 才 行 。 

需要 对 某 个 EAL 评估 标准 条 件 添加 内 容 进行 扩展 时 ， 可 以 在 EAL 级 别 中 添加 标识 符 。 如 防 
火 墙 产品 通过 EAL4 认证 后 ， 又 通过 了 EAL4 扩展 标准 EAL4+ 的 认证 ， 这 些 信 息 一 般 都 会 记录 
在 产品 目录 说 明 书 中 。 

EAL 的 安全 评估 级 别 














































































































































































































































































































































































































































































































设想 的 安全 保障 级 别 评估 概要 ITSEC | TCSEC 

义 封 闭环 境 应 用 为 前 提 ， 能 够 保障 安全 使 用 、 利 用 时 使 用 产 | 功能 测试 EO~E1 |D~C1 
品 的 保障 级 别 

或 开发 人 员 限 定 ， 不 存在 威 肌 使 用 的 重大 隐患 时 使 | 结构 测试 E1 全 
产品 的 保障 级 另 
特定 用 户 可 利用 ， 需 要 防范 非法 使 用 时 产品 的 保障 级 曙 功能 测试 以 及 检查 E2 C2 
为 保障 商用 产品 以 及 系统 的 高 安全 性 ， 在 考虑 了 安全 性 的 开 | 功能 设计 、 测 试 以 及 | E3 B1 
发 与 生产 环境 中 生产 产品 的 保障 级 别 评审 
为 在 特定 领域 的 商用 产品 以 及 系统 中 能 够 最 大 限度 保护 安全 | 准 形式 设计 以 及 测试 | E4 B2 
性 ， 在 安全 专家 的 支持 下 完成 开发 与 生产 的 产品 的 保障 级 别 
为 了 对 抗 重大 风险 环境 、 保 护 高 价值 的 资产 ， 适 应 安全 工程 | 完成 准 形 式 验证 的 设 | E5 B3 
技术 标准 的 开发 环境 中 生产 的 特殊 产品 的 保障 级 别 计 以 及 测试 
为 保护 风险 极 大 和 开发 费用 极 高 环境 中 的 高 昂 资 产 而 开发 的 | 完成 形式 验证 的 设计 | E6 A 
安全 保障 级 别 最 高 的 产品 的 保障 级 别 以 及 测试 

中 该 制度 仅 在 日 本 实行 。 译 者 注 
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速 普及 的 无 线 LAN 
及 其 基础 知识 











历史 、 标 准 以 及 接 入 点 ( Access 














和 LAN 安全 性 以 及 无 线 LAN 性 外 
































还 会 对 IEEE 802.11 标准 中 的 内 容 尤 其 是 传输 标 ; 












































细 地 说 明 。 
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06.01 无 线 LAN 是 如 何 诞 生 的 ? 








世界 上 最 早 的 计算 机 无 线 通 信和 是 1968 年 开始 研究 的 ALOHA 网 。 该 实验 网 络 将 夏威夷 诸 乌 
以 无 线 通信 的 方式 进行 连接 ， 后 来 在 该 实验 网 的 基础 上 开发 了 以 太 网 。 

1985 年 ， 经 美国 FCC 批准 ， 原 来 仅 用 于 军 方 的 扩 频 通信 向 民间 开放 ，900MHz 频带 
(902 ~ 928MHz )、2.4GHz 频带 (2.4~2.5GHz )、5.7GHz 频带 (5.725 ~5.875GHz ) 这 三 个 被 称 为 
ISM 频带 的 无 线 频带 开始 可 供 商 业 使 用 。 

1991 年 ,IEEE 召开 了 首 个 无 线 LAN 相关 的 会 议 ， 同 时 成 立 了 IEEE 802.11 委员 会 。1992 
年 ，NCR 公司 的 WaveLAN 、Proxim 公司 的 RangeLAN 以 及 Telesytems 公司 的 ArLAN 等 无 线 产 
品 在 美国 市 场 上 发 布 ， 这 些 产品 使 用 900MHz 频带 ， 最 大 速率 为 2Mbit/s。 随 后 ， 市 场 上 又 出 现 
了 使 用 2.4GHz 带宽 的 2Mbit/s 无 线 LAN 产品 。 当 时 Proxim 公司 的 RangeLAN2 接 入 点 价格 大 约 
为 1985 美元 ， 另 一 方面 ， 需 要 在 每 台 作 为 客户 端的 计算 机 上 安装 无 线 LAN 适配器 ， 该 适配器 为 
PCMICA TYPE I 类 型 PC 扩展 卡 ， 售 价 为 695 美元 ( 当时 价值 7 万 5 千 日 元 )。 

日 本 于 1992 年 根据 无 线 电 相关 法 律 ， 规 定 只 有 在 省 电 数 据 通信 系统 管理 局 登记 、 符 合法 定 
技术 标准 的 无 线 LAN 硬件 产品 才能 在 市 场 上 销售 ， 而 符合 技术 标准 的 认证 必须 由 TELEC ( 财团 
法 人 telecom engineering center ) 机 构 进行 。 由 于 在 当时 ， 认 证 无 线 通信 设备 需要 将 不 同 的 天 线 和 
计算 机 组 合 后 逐一 认证 ， 因 此 最 终 只 有 少 部 分 能 够 使 用 无 线 LAN 的 计算 机 种 类 获得 了 该 认证 ， 
这 在 一 定 程度 上 妨碍 了 无 线 LAN 的 普及 程度 。 

1997 年 IEEE 完成 了 首 个 无 线 LAN 标准 一 一 802.11 的 标准 化 工作 ， 该 标准 让 使 用 2.4GHz 频 
带 、 通 信 速 率 为 2Mbit/s 的 无 线 LAN 得 到 普及 。 而 之 前 在 市 场 上 销售 的 无 线 LAN 产品 属于 非 标 
准 化 范畴 ， 多 数 产品 同 标准 化 后 的 10Mbit/s 以 太 网 技术 相 比 ， 只 能 提供 速率 很 低 2Mbit/s 的 网 络 
否 叶 率 并 有 旦 价格 不 非 ， 不同 厂商 的 产品 之 间 兼 容 性 差 ， 难 以 在 市 场 上 得 以 普及 。 

1999 年 11Mbit/s 的 无 线 LAN 通过 802.11b 标准 完成 了 标准 化 工作 。 就 在 该 标准 颁布 前 ， 苹 
果 公 司 发 布 了 一 款 名 为 AirPort (日 本 该 产品 名 为 AirMac? ) 的 无 线 接 入 点 产品 。 当 时 AirMac 售 价 
299 美元 ， 无 线 LAN 网 卡 价格 为 99 美元， 相对 于 之 前 的 无 线 LAN 产品 ， 价 格 可 谓 非常 低廉 。 
日 本 Melco 公司 (现在 的 Buffalo 公司 ) 在 国内 也 发 布 了 支持 IEEE 802.11b 的 产品 ， 其 中 包括 价 
格 为 59800 日 元 的 无 线 接 入 点 和 29800 日 元 的 无 线 LAN 网 卡 。 

1999 年 日 本 修改 了 无 线 电 管理 法 律 ， 首 次 将 原本 只 认定 单个 信道 的 无 线 LAN 专用 频段 扩大 
到 了 14 个 信道 ， 使 得 无 线 LAN 在 日 本 迅速 普及 。 

随后 ，IEEE 制定 了 提高 通信 速度 的 802.11g 以 及 802.1ln 等 标准 ， 这 些 标准 沿用 至 今 。 









































































































































有 该 产品 没有 进入 中 国 市 场 。 





译 者 注 
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2002 年 日 本 再 度 修正 无 线 电 管理 法 律 ， 人 允许 总 务 省 认可 的 民间 TELEC 认证 机 构 进 行 相关 认 
证 工作 。 


Mac AirPort 基站 ( base station ) 





Melco 公司 ( 现 为 Buffalo 公司 ) 的 AIRCONNECT ( 接 入 点 ) 产 品 
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06.02 理解 无 线 LAN 所 需 的 基础 知识 


06.02.01 CSMA/CA 


以 太 网 传输 媒介 访问 控制 方式 为 CSMA/CD， 而 IEEE 802.11 无 线 LAN 所 采用 的 是 CSMA/ 
CA 方式。 通过 使 用 CSMA 技术 ,使 得 多 个 终端 设备 在 共享 传输 媒介 ( 无线 LAN 中 则 是 指 无 线 
带宽 频带 ) 时 能 够 实时 检测 出 那些 未 被 占用 频 点 。 

以 太 网 的 冲突 域 (CD，collision domain ) 是 指 在 数据 发 送 时 检测 出 冲突 ， 当 发 生 冲突 时 等 候 
某 随 机 时 间 再 次 发 送 。 而 在 无 线 LAN 中 ， 如 果 在 进行 载波 侦 听 时 ( carrier sense ) 遇 到 其 他 终端 
正在 发 送 数据 ， 那 么 就 在 对 方 终端 发 送 完成 后 ， 再 次 等 待 某 个 随机 时 间 继 续 发 送 数据 。 该 过 程 称 
为 冲突 避免 (CA，collision avoidance )， 因 为 如 果 在 对 方 发 送 完毕 后 直接 发 送 数据 ， 也 有 可 能 会 
造成 无 线 传输 的 冲突 。 

在 以 太 网 中 ,传输 媒介 能 够 通过 异常 电气 信号 检测 到 冲突 的 发 生 。 但 由 于 无 线 通 信 不 会 产生 
电气 信号 ， 因 此 需要 使 用 CSMA/CA 来 取代 CSMA/CD( 表 6-1 )。 

































































以 太 网 与 无 线 LAN 的 比较 





















































以 太 网 无 线 LAN 
标准 IEEE 802.3 IEEE 802.11 

地 址 MAC 地 址 MAC 地 址 

传输 媒介 线 缆 无 线 电波 

接 入 控制 CSMA/CD CSMA/CA 

传输 方式 半 双 工 或 全 双 半 双 工 
































06.02.02 无 线 LAN 的 架构 


IEEE 802.11 无 线 网 络 由 表 6-2 列 出 的 要 素 组 成 。 图 6-4 则 展示 了 这 些 组 成 要 素 的 图 例 。 


IEEE 802.11 无 线 网 络 的 组 成 要 素 
组 成 要 素 说 明 
STA ( Station， 工 作 站 ) 无 线 连 接 需要 使 用 的 配 有 适 配 卡 、PC 卡 、 内 置 模块 的 物理 无 线 终端 
AP ( wireless access point， 无 线 LAN 接 入 点 ) | 在 STA 与 有 限 网 络 之 间 承 担 桥梁 角色 的 物理 硬件 


IBSS (Independent basic service set， 独 立 基 | 包含 1 个 或 2 个 以 上 STA 的 无 线 网 络 ， 无 法 访问 DS 时 使 用 该 模式 。 
本 服务 集 ) 也 称 为 ad-hoc 无 线 网 络 ( ad-hoc 模式 ) 
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( 续 ) 


组 成 要 素 说 明 

BSS ( basic service set， 基 本 服务 集 ) 1 个 无 线 LAN 访问 点 和 1 个 以 上 无 线 客户 端 组 成 的 无 线 网 络 ， 也 
称 为 基础 设施 无 线 网 络 ( 基础 设施 模式 )。BSS 内 所 有 的 STA 通信 均 
通过 AP 完成 ，AP 不 仅 提供 与 有 线 LAN 的 连接 ， 而 且 还 提供 STA 与 
其 他 STA 或 DS 节点 之 间 通 信 的 桥接 功能 

ESS ( extended service set， 扩 展 服务 集 ) 与 同一 有 线 网 络 连接 的 、2 个 以 上 的 AP 群 ， 与 1 个 子 网 概念 相当 
DS (distribution system， 分 发 系统 ) 放置 于 不 同 BSS 内 的 AP 之 间 通 过 DS 路 由 相互 连接 ， 使 STA 能 够 
从 某 个 BSS 向 其 他 BSS 移动 ( mobility )。 各 个 AP 之 间 可 以 是 无 线 互 
联 也 可 以 是 有 线 互 联 ， 不 过 多 数 场合 采用 有 线 互 联 。DS 是 BSS 之 间 
进行 逻辑 连接 的 要 素 ， 使 STA 在 BSS 之 间 能 够 实现 漫游 (roaming ) 


































































































































































































IEEE 802.11 无 线 网 络 要 素 
ESS 














06.02.03 无 线 LAN 的 拓扑 结构 


无 线 LAN 的 拓扑 结构 分 为 用 于 通信 终端 之 间 直 接 互联 的 “ad-hoc 模式 ”以 及 通过 AP 连接 
有 线 网 络 的 “基础 设施 模式 ”两 种 ( 表 6-3 )。 这 里 提 到 的 终端 是 指 搭载 了 无 线 LAN 模块 的 个 人 
计算 机 、 便 携 终 端 、 游 戏 设 备 等 。 
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无 线 LAN 拓扑 结构 的 种 类 












































模式 说 明 
ad-hoc 模式 即 IEEE 802.11 无 线 网 络 的 BSS， 在 两 台 终 端 ( STA ) 之 间 直 接 通 过 无 线 信号 互联 ， 从 而 
( ad-hoc mode ) 组 成 的 网 络 ， 也 称 为 点 到 点 ( peer to peer ) 或 孤立 ( independent ) 的 网 络 模式 。 该 网 络 
模式 在 个 人 计算 机 与 打印 机 之 间 进 行 无 线 连 接 或 者 多 台 便携 式 游戏 机 进行 无 线 联 机 对 战 












































时 经 常 使 用 。 入 网 终端 一 般 直 接 搭载 无 线 LAN 模块 或 配备 PC 扩展 卡 、USB 接口 的 无 
线 LAN 适 配 模块 ， 在 该 模式 下 ， 入 网 设备 往往 不 能 连接 到 互联 网 上 


一 名 
5 六 




















































































































基础 设施 模式 指 802.11 无 线 网 络 的 BSS 形式 组 网 ， 在 需要 经 由 无 线 LAN 连接 至 互联 网 时 使 用 。 在 该 
(infrastructure mode ) 模式 下 ， 除 了 载 有 无 线 LAN 模块 的 终端 ( STA ) 以 外 ， 还 需要 有 无 线 LAN 的 AP 方 能 连 
接 至 互联 网 














国 无 线 LAN 的 接 入 点 

有 线 LAN 通过 使 用 有 线 电缆 将 个 人 计算 机 同 交 换 机 (交换 性 集线器 ) 连接 ， 从 而 完成 组 
而 在 无 线 LAN 的 基础 设施 模式 中 ， 则 是 通过 一 种 称 为 无 线 LAN 接 入 点 ( Access Point ) 的 装 
将 多 台 个 人 计算 机 连接 到 LAN 网 段 中 。IEEE 802.11 ed AP 可 以 直接 称 为 接 入 点 。 
点 装置 一 般 会 配备 RJ-45 网 络 接口 同 交换 机 或 路 由 器 进行 连接 ， 从 而 使 得 无 线 LAN 的 终端 能 够 
访问 有 线 LAN 或 互联 网 。 
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06.03 ”各 种 各 样 的 无 线 LAN 标准 








和 以 大 网 一 样 ， 无 线 LAN 的 标准 也 是 由 IEEE 组 织 制定 的 。 

以 太 网 标准 统称 为 [EEE 802.3， 而 无 线 LAN 标准 则 统称 为 IEEE 802.11。 

同 IEEE 802.3 一 样 ，IEEE 802.11 在 物理 层 和 数据 链 路 层 之 间 也 定义 了 MAC 子 层 。 整 个 
IEEE 802.11 标准 定义 了 无 线 LAN 采用 何 种 频带 和 调制 方式 ， 传 输 速率 能 够 达到 何 种 程度 等 传输 
标准 ， 还 定义 了 安全 性 、QoS、 管 理 、 调 试 方法 等 各 种 涉及 无 线 LAN 的 相关 内 容 。 

表 6-4 汇总 了 主要 的 无 线 LAN 传输 标准 。 


主要 的 无 线 LAN 传输 标准 
IEEE 标准 制定 年 份 最 大 传输 速率 调制 方式 
802.11 1997 年 4 2Mbit/s DSSS 社 ' 
802.11b 1999 年 4 11Mbit/s DSSS 
802.11a 1999 年 54Mbit/s OFDM 斑 3 5.15~5.35GHz : 室内 使 用 无 需 许 
可 。5.47~5.725GHz : 室内 室外 均 







































































802.11g 2.4GHz IMbit/s 需 许 可 





























802.11j 4.9~5.0GHz HIMbit/s 需要 出 具 许 可 








5.03~5.091GHz 


802.11n FE 2.4GHz / 600Mbit/s .4GHz 频带 : 室内 室外 埃 
5GHz .15~5.35GHz : 室内 使 
.47~5.725GHz : 室内 外 
802.11ac E | 5GHz 6.93Gbit/s OFDM .15~5.35GHz : 室内 
(MIMO 三 4 ) 5.47~5.725GHz : 室 
802.11ad F | 60GHz 6.8Gbit/s SC ( Single 无 需 许可 


Carrier) OFDM 
( MI O41 

















































































































注 1: DSSS ( Direct Sequence Spread Spectrum )， 直 接 序 列 扩 频 。 扩 频 通信 技术 的 一 种 ， 在 发 送 一 侧 将 调制 信号 经 过 高 频 
巴克 码 (barker code，11bit 脉冲 码 ) 的 XOR 运算 后 进行 发 送 。 

注 2: CCK (Complementary Code Keying )， 补 充 编 码 键 控 。 不 使 用 巴克 码 ， 而 是 使 用 被 称 为 补充 序列 ( complementary 
Sequence ) 的 代码 对 信号 进行 编码 。" 

注 3: OFDM (Orthogonal Frequency Division Multiplexing )， 正 交 频 分 复 用 。 

注 4: MIMO ( Multiple Input Multiple Output ) >。 








中 为 了 防止 同 频段 无 线 通 信 的 相互 干扰 ， 每 个 国家 均 会 指定 无 线 电 频 段 的 管理 办 法 ， 指 定 频 段 内 的 通信 需要 得 到 相关 部 
门 的 许可 方 可 使 用 。 译 者 注 
@ ”中文 译 为 多 输入 多 输出 。 译 者 注 
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在 完成 LAN 以 及 WAN 等 网 络 标准 规范 化 工作 的 IEEE 802 中 ， 制 定 无 线 LAN 相关 标准 的 
团体 称 为 IEEE 802.11 工作 组 ( working group )， 工 作 组 下 还 分 为 很 多 任务 组 (task group ) 这 些 
任务 组 从 罗马 字母 a 开始 编号 ， 如 IEEE 802.11b 就 表示 为 TGb ( Task Group b )。 

表 6-5 中 列 出 了 IEEE 802.11 标准 的 清单 。 


IEEE 802.11 标准 一 览 











































































































































































































































































































































































































































































































































































































































































































































































































标准 种 类 标准 种 类 制定 时 间 说 明 

802.1 传输 标准 1997 生 使 用 2.4GHz 以 及 红外 线 频 带 、 速 率 为 1Mbit/s 和 2Mbit/s 的 无 线 LAN 标准 

802.11a 传输 标准 1999 4 起用 5GHz 频带 、 最 大 速率 在 54Mbit/s 的 无 线 LAN 标准 

802.11b 传输 标准 1999 年 EEE802.11 的 扩展 。 使 用 2.4GHz 频带 、 最 大 速率 为 11Mbit/s 的 无 线 
LAN 标准 

802.11c 2001 年 有 线 LAN 与 无 线 LAN 之 间 的 桥接 标准 。 后 并 入 IEEE 802.1D 

802.11d 2001 自 于 国际 漫游 的 扩展 协议 

802.11e QoS 2005 年 无 线 LAN 中 实施 QoS 控制 的 标准 

802.11F 2003 年 同 厂商 的 AP 之 间 漫 游 的 协议 ， 即 IAPP ( Inter-Access Point Protocol ) 
标准 

802.11g 传输 标准 2003 年 使 用 2.4GHz 频带 、 最 大 传输 速率 为 54Mbit/s 的 无 线 LAN 标准 ， 向 下 闹 
容 IEEE 802.11b 

802.11h 应 对 法 律 限制 | 2004 年 为 应 对 欧洲 对 5GHz 频带 的 使 用 限制 、 作 为 IEEE 802.11a 的 扩展 而 制定 
的 标准 

802.11i 安全 2004 年 为 消除 WEP 加 密 的 缺陷 而 对 无 线 LAN 安全 机 制 进行 扩展 的 标准 

802.11j 应 对 法 律 限制 | 2004 年 作为 IEEE802.11a 的 补充 标准 来 应 对 日 本 对 于 5GHz 频带 的 使 用 限制 

802.11k 管理 2008 年 无 线 LAN 中 对 无 线 资源 进行 监控 的 标准 

802.11ma/mb IEEE 802.11 系列 标准 文件 的 修订 与 管理 

802.11n 传输 标准 2009 年 使 用 MIMO 技术 的 高 速 无 线 LAN 标准 ， 使 用 2.4GHz 以 及 5GHz 频带 ， 
最 大 速率 可 达 600Mbit/s 

802.11p 应 2010 年 车 载 ( 移动 装置 ) 可 用 的 无 线 LAN 应 用 标准 

802.11r 应 2008 年 实现 高 速 漫游 的 方法 

802.11s 应 2011 年 无 线 LAN 之 间 网 状 组 网 ( mesh network ) 架 构 的 标准 

802.11T 试验 EEE802.11 测试 方法 与 检测 相关 的 规格 与 设计 

802.11u 互联 互通 2011 年 同 IEEE 802.11 以 外 的 网 络 之 间 进 行 互联 互通 的 相关 标准 

802.11v 管理 2011 年 使 用 802.11k 测定 的 信息 对 无 线 网 络 进行 管理 的 标准 

802.11w 管理 2009 年 EEE 802.11 管理 数据 帧 的 安全 相关 标准 

802.11y 应 对 法 律 限制 | 2009 年 美国 国内 使 用 3.65~3.7GHz 频带 的 无 线 LAN 标准 

802.11ac 传输 标准 预定 2013 年 | 使 用 5GHz 频带 、 传 输 速 率 最 大 能 够 达到 6.83Gbit/s 的 无 线 LAN 

802.11ad 传输 标准 预定 2013 年 | 使 用 60GHz 频带 、 最 大 传输 速率 为 6.8Gbit/s 的 短 距 离 无 线 通信 LAN 标准 
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06.03.01 IEEE 802.11 


最 早 的 IEEE 802.11 标准 于 1997 年 制定 ,采用 的 是 工作 组 命名 (不 含有 罗马 字母 )。 该 标准 
规定 了 数据 链 路 层 中 MAC 子 层 的 媒介 传输 方式 为 CSMA/CA。 

物理 层 采用 2.4GHz 频带 的 DSSS 方式 或 FHSS ( Frequency Hopping Spread Spectruom， 跳 频 扩 
频 技术 ) 方式 以 及 红外 线 方式 3 种 标准 (图 6-5、 表 6-6 )， 通 信 速 率 为 1Mbit/s 或 2Mbit/s。 但 是 
































该 物理 层 标准 目前 已 经 不 再 使 用 。 


aaa IEEE 802.11 





在 网 络 分 层 模型 中 的 地 位 








数据 链 路 层 | LLC 子 层 


802.2 逻辑 链 路 控制 ( LLC ) 








MAC 子 层 | 802.11 CSMA/CA 








物理 层 物理 层 








802.11 PHY 802.11b PHY 无 | 802.11a PHY 无 | 802.11g PHY 无 
红外 线 | 无 线 电波 无 线 电波 线 电波 2.4GHz | 线 电波 2.4GHz | 线 电波 2.4GHz 
24GHz FHSS | 2 4GHz DSSS 频带 DSSS/CCK | ”频带 OFDM 频带 OFDM、 

PBCC DSS/CCK 







































































IEEE 802.1 


1 的 传输 方式 





传输 方式 


说 明 








DSSS ( Direct Sequence Spread | 扩 频 通信 技术 的 一 种 ， 在 发 送 一 侧 将 调制 信号 经 过 高 频 巴 克 码 ( barker code， 








Spectrum， 直 接 序列 扩 






































频 ) 11bit 脉冲 码 ) 的 XOR 运算 后 进行 发 送 。 将 信号 分 散在 整个 宽带 域 的 同时 进行 发 
送 。 同 FHSS 相 比 ， 抗 干扰 性 差 ， 传 输 速度 快 











LU 








FHSS (Frequency Hop 
Spectrum， 跳 频 扩 频 技 

















ping Spread | 扩 频 通信 技术 的 一 种 ， 在 短 时 间 内 变更 信号 发 送 频率 的 通信 方式 。 即 使 某 个 频率 
术 ) 发 生 噪音 干扰 ， 也 能 够 通过 变更 为 其 他 频率 来 修正 数据 ， 选 择 干扰 较 小 的 频率 
行 发 送 。 同 DSSS 相 比 ， 虽 然 传输 速度 慢 ， 但 抗 干扰 性 十 分 优越 。 另 外 ， 该 方式 
在 Bluetooth 中 也 能 够 人 






















































































红外 线 (Infrared ) 




















使 用 红外 线 ( 波长 为 850~950nm ) 进 行 数据 的 无 线 传输 。 最 大 传输 距离 只 有 20m 
左右 ， 无 法 跨越 墙壁 等 障碍 物 














06.03.02 IEEE 802.11a 





IEEE 802.11a 于 1999 年 10 月 制定 ， 最 大 传输 速率 为 54Mbit/s， 使 用 SGHz 频带 。 
数据 链 路 层 协议 以 及 数据 帧 格式 均 和 IEEE 802.11 相同 ， 物 理 层 调制 方式 变 为 OFDML。 
通信 速率 能 够 根据 无 线 电波 的 信号 情况 能 够 做 到 54、48、36、24、12、6Mpbs 自 适 应 ， 这 








点 通过 无 线 LAN 客 











户 端的 fallback 功能 来 实现 。 





在 可 使 用 的 频 六 


带 范 围 内 ，5.15~5.35GHz 的 频带 在 室内 使 用 无 需 许可 , 5.47~5.725GHz 频带 在 


室内 外 使 用 均 无 需 许可 。 
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IEEE 802.11a 与 IEEE 802.11b 虽 都 于 1999 年 完成 标准 化 ， 但 由 于 SGHz 频带 在 日 本 和 欧洲 
等 地 用 于 气象 雷达 等 其 他 系统 ,再 加 上 无 线 电波 在 室外 传播 时 使 用 的 天 线 也 有 所 约束 , 因此 该 标 
准 的 普及 花费 了 不 少时 间 。 后 来 由 于 日 本 无 线 电 管理 法 律 的 修正 以 及 IEEE 802.11j 这 种 应 对 法 律 限 
制 的 新 标准 制定 ， 再 加 上 能 够 使 用 没有 干扰 的 8 个 频段 ， 因 此 最 近 IEEE 802.11a 才 逐 步 流行 开 来 。 























06.03.03 |EEE 802.11b 











IEEE 802.11b 于 1999 年 10 月 指定 ， 最 大 传输 速率 为 11Mbit/s， 使 用 2.4GHz 频带 且 无 需 
许可 。 

数据 链 路 层 协议 与 数据 帧 格式 同 IEEE 802.11 相同 ， 物 理 层 使 用 基于 DSSS 的 CCK 调制 
方式 。 

该 标准 开启 了 无 线 LAN 的 历史 篇 章 ， 在 该 标准 制定 完成 的 前 后 时 间 段 ， 对 应 IEEE 802.11b 
的 廉价 无 线 LAN 卡 开 始 销售 ， 并 在 之 后 的 几 年 里 得 到 迅速 普及 。 














06.03.04 IEEE 802.11g 


IEEE 802.11g 是 于 2003 年 6 月 制定 的 标准 ， 向 下 兼容 IEEE 802.11b。 调 制 方式 同 IEEE 
802.11a 相同 ， 采 用 OFDM 方式 ， 最 大 传输 速率 为 54Mbit/s。 

由 于 使 用 了 ISM 频带 的 2.4GHz 频带 ， 因 此 能 够 无 需 许可 自由 使 用 。 可 是 同 IEEE 802.11a 相 
比 ， 更 容易 受到 其 他 无 线 硬件 设备 的 干扰 ， 很 可 能 造成 实际 速率 下 降 。 




















06.03.05 IEEE 802.11n 


IEEE 802.1ln 标准 于 2009 年 制定 完成 ， 最 大 传输 速率 为 600Mbit/s， 该 标准 通过 使 用 MIMO 
多 通道 技术 使 传输 速率 大 幅 上 升 。 

IEEE 委员 会 于 2006 年 推出 了 Draft 1.0 版 本 “，2007 年 发 布 了 Draft 2.0。 这 时 市 场 上 就 已 经 
开始 销售 仅 支 持 Draft 版 本 的 无 线 LAN 接 入 点 产品 。 因 此 ， 包 括 无 线 LAN 客户 端 内 ， 产品 在 互 
联 互 通 时 需要 注意 支持 的 IEEE 802.1ln 版 本 信息 。 

IEEE 802.11a、IEEE 802.11b、IEEE 802.11g 能 够 做 到 互联 互通 。 















































中 IEEE 名 为 美国 电子 和 电气 工程 师 协 会 ， 属 于 美国 的 行业 协会 ， 因 此 所 制定 的 标准 往往 会 参考 美国 本 地 实际 情况 ， 而 
美国 的 SGHz 频带 当时 并 没有 这 类 用 途 。 译 者 注 
@ Draft 这 里 是 草案 的 意思 ， 即 该 版 本 为 规范 草案 ， 之 后 还 有 可 能 进行 修改 。 








译 者 注 
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06.03.06 IEEE 802.11ac 


IEEE 802.11ac 使 用 5GHz 频带 ， 是 计划 于 2013 年 完成 制定 工作 的 新 标准 "。 

在 IEEE 802.11n 标准 中 ,使 用 MIMO 最 多 利用 4 个 空间 数据 流 ， 而 在 IEEE 802.1lac 
中 ， 则 最 多 能 够 使 用 8 个 数据 流 。 每 个 信道 增加 20MHz 或 40MHz 的 带宽 ,能 够 使 用 80MHz 
或 160MHz 带宽 的 信道 。 如 果 使 用 160MHz 信道 配 和 8x8MIMO， 则 最 大 通信 速率 能 够 达到 
6.93Gbit/s。 














06.03.07 |EEE 802.11ad 




















IEEE 802.11ad 使 用 无 需 许可 的 60GHz 频带 ， 是 计划 于 2013 年 完成 制定 的 最 新 传输 标准 。 
虽然 该 标准 使 用 高 频频 带 导致 传输 距离 只 有 几米 远 , 但 是 能 够 达到 最 大 6.8Gbit/s 的 传输 速率 、 


完成 高 速 通信 。 








06.03.08 Wi-Fi 





Wi-Fi 是 在 使 用 了 IEEE 802.11 系列 标准 的 无 线 通 信 设 备 进行 组 网 时 ， 认 证 不 同 厂商 生产 的 
各 个 设备 之 间 能 否 互联 互通 的 品牌 标识 。 由 业界 团体 Wi-Fi 联盟 完成 互联 互通 的 认证 。 

在 酒店 或 公共 设施 中 经 常 可 以 看 到 “能 够 使 用 Wi-Fi” 的 标识 ， 这 就 表示 此 处 的 接 入 点 已 通 
过 Wi-Fi 认 证。 除了 个 人 计算 机 外 ， 家电 以 及 游戏 设备 均 能 够 接受 Wi-Fi 的 认证 。 

凡是 经 Wi-Fi 认证 的 无 线 客户 端 设备 或 接 人 点 均 能 够 无 障碍 地 互联 互通 。 

Wi-Fi 还 定义 了 类 似 WPA 这 类 无 线 加 密 的 相关 标准 。 





















































Wi-Fi 的 Logo 


OTED TED 





Em TF 





CERTIFIED” CERTIFIED 








中 该 规范 实际 于 2011 年 起 草 ，2013 年 制定 ， 并 计划 在 2014 年 对 外 发 布 。 
@ Wi-FiAlliance 的 Web 站 点 (英语 ) 是 http:/www.wi-fi.org/。 


译 者 注 
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06.04 ”无线 LAN 搭载 的 各 种 功能 


06.04.01 关联 


使 用 无 线 LAN 的 个 人 计算 机 连接 至 互联 网 或 有 线 LAN 时 ， 需 要 使 用 基础 设施 模式 ， 通 过 
无 线 LAN 接 入 点 完成 连接 工作 。 

无 线 LAN 终端 同 接 人 点 的 连接 过 程 称 为 关联 ( Association ) ( 图 6-7 )。 在 进行 关联 操作 时 ， 
个 人 计算 机 的 无 线 LAN 适配器 必须 处 于 工作 状态 。 








关联 操作 的 流程 


无 线 LAN 中 扫描 
客户 端 





























中 ,根据 扫描 结果 获取 信道 或 SSID 信息 
C 执行 开放 认证 或 共享 密 钥 认 证 
@: 接 入 点 接收 来 自 客户 端的 关联 请 求 ， 如 果 请 求 无 误 ， 则 回复 状态 码 为 


“success” 的 应 答 消息 

































































在 无 线 LAN 中 ， 有 时 个 人 计算 机 (客户 端 ) 可 以 和 多 个 接 和 人 点 进行 连接 ， 这 时 就 需要 将 目 
标 接 和 点 的 SSID 信息 注册 到 个 人 计算 机 中 。 这 样 ， 个 人 计算 机 就 只 能 接 人 SSID 同 注册 SSID 相 
一 致 的 接 入 点 。 

接 入 点 会 定期 发 送 名 为 灯塔 (beacon ) 的 控制 信号 。 无 线 LAN 的 客户 端 能 够 根据 灯塔 控制 
言 号 ， 获 得 AP 的 SSID 信息 、 支 持 的 无 线 传输 速率 以 及 无 线 信道 编号 等 信息 。 

客户 端 在 关联 过 程 中 ， 向 接 入 点 发 送 关联 请 求 数据 帧 ， 接 人 点 收 到 请 求 后 则 向 客户 端 返回 附 
带 状 态 码 的 关联 应 答 数据 帧 。 

客户 端 会 确认 来 自 接 入 点 的 状态 码 ， 如 果 得 到 “successful” 的 信息 时 表示 关联 成 功 ， 如 果 返 
回 的 是 其 他 信息 则 表示 失败 。 客 户 端 在 收 到 “successful” 的 同时 ， 还 会 分 配 到 一 个 名 Association 
ID( AID ) 的 识别 号 。 

在 进行 无 线 LAN 认证 (参见 后 文 ) 时 ， 关 联 需 在 无 线 LAN 通过 认证 后 才能 进行 。 

关联 过 程 使 用 的 MAC 数据 帧 如 图 6-8 所 示 。 
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IEEE 802.11 中 使 用 的 MAC 数据 帧 


Frame Duration |Address1 1 Address 2 ( Address 3 ( Sequence Address 4 ( Body FS 
Control |/ID (2) Control (2) (Om2312.) 
[2 






单位 为 octet 


是 1 则 表示 WEP 的 
数据 帧 体 加 密 


Type (2)|SubType (4) 





ee 

3 

5 
Es 








) 内 单位 为 bit 

IEEE802.11 的 MAC 数据 帧 类 型 分 为 3 类 

个 管理 数据 帧 ( Managed Frame ) 

(QD-1 传递 无 线 信息 的 灯塔 ( Beacon ) 数据 帧 : 默认 时 每 100 毫秒 由 接 入 点 广播 。 

QD-2 认证 使 用 的 认证 数据 帧 : 接 入 点 和 客户 端 之 问 进行 信息 交互 时 使 用 的 关联 数据 帧 。 

G@) 控制 数据 帧 ( Control Frame ) 

(3)” 纯 数据 帧 ( Data Frame ): 管理 数据 帧 中 
地 址 , “Address 3"” 表示 BSSID 信息 






































































































































淹 


“Address 1” 表示 目 的 地 地 址 , “Address 2” 表 示 发 送 源 














国 IEEE 802.11 MAC 帧 的 数据 域 
表 6-7 汇总 了 图 6-8 中 各 MAC 帧 的 数据 域 相 关 说 明 。 
IEEE 802.11 MAC 帧 的 数据 域 





















































































































































































































































数据 域 说 明 

Protocol Version ( 协议 版 本 ) | 表明 使 用 IEEE 802.11 协议 的 版 本 。 接 收 终端 根据 该 信息 判断 是 否 支持 接收 数据 帧 的 协 
议 版 本 

Type ( 类 型 ) 表示 数据 帧 的 功能 。 有 控制 ( control )、 数 据 ( data )、 管 理 ( management ) 三 种 

Subtype ( 子 类 型 ) 于 个 数据 帧 类 型 均 有 若干 个 子 类 型 ， 用 于 执行 某 类 型 下 特定 的 功能 

To DS 与 From DS DS 是 指 分 布 式 系统 ( Distributed System )， 一 般 只 用 在 与 接 入 点 关联 的 终端 之 间 传 输 
的 数据 帧 类 型 。 "1” 表 示 发 送 源 为 信号 基站 ,， "0” 表 示 发 送 源 为 终端 

More Frag 在 将 上 层 分 组 碎片 ( fragment ) 后 进行 发 送 时 使 用 。 "1” 表 示 后 续 存 在 碎片 数据 帧 ， 
表示 当前 数据 帧 为 最 后 的 碎片 数据 帧 或 不 存在 碎片 数据 帧 

Retry “1” 表 示 再 次 发 送 数据 帧 ,“0” 表 示 不 再 发 送 该 数据 帧 

More Data 表示 是 否 存在 等 待 后 续 发 送 的 分 组 。 "1” 表 示 存 在 后 续 分 组 

WEP 表示 是 否 进行 WEP 加 密 。 "1 ”表示 进 行 加 密 

Order “1” 表 示 数 据 帧 严格 按照 strictly ordered ( 发 送 接收 顺序 无 法 替换 ) 的 标准 进行 发 送 


























06.04.02 接 入 点 的 接 入 控制 


通过 对 接 入 点 的 设置 ， 无 线 客户 端 就 能 接 入 互联 网 。 
但 是 ， 由 于 无 线 电 波 肉 眼 不 可 见 ， 因 此 会 造成 外 来 陌生 用 户 在 未 经 允许 时 ,擅自 使 用 接 入 点 
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的 情况 发 生 。 只 要 在 无 线 信 和 号 能 够 到 达 的 范围 内 并 知道 SSID ， 客 户 端 都 能 够 与 接 人 点 进行 关联 。 
为 了 防止 不 明 第 三 者 使 用 接 和 点， 可 以 使 用 ESSID 隐身 (ESS-ID stealth ) 功能 以 及 MAC 地 址 过 
滤 功 能 。 





国 ESSID 隐身 
SSID 信息 是 由 来 自 接 人 点 的 灯塔 信号 定期 进行 广播 发 送 的 。 
般 而 言 ， 客 户 端 使 用 灯塔 信号 来 确认 同 哪个 SSID 进行 连接 。 

但 是 ， 由 于 无 线 信和 号 能 够 到 达 的 地 方 ， 无 论 是 谁 都 能 够 通过 灯塔 信号 ， 使 用 对 应 的 客户 端 搜 
索 到 SSID 信息 并 连接 。 

为 了 遏制 这 类 风险 ， 就 可 以 使 用 不 发 出 灯塔 信号 的 ESSID 隐身 功能 。 客 户 端 需要 通过 其 他 
途径 获得 SSID 信息 ， 并 设置 自身 终端 ， 从 而 完成 隐蔽 的 网 络 连接 。 该 方法 也 可 以 称 为 “SSID 广 
播 无 效 化 ”或 “拒绝 Any”。 

但 是 ， 由 于 SSID 在 无 线 网 络 上 的 传播 并 不 采取 加 密 措施 ， 当 某 个 无 线 客户 端 使 用 SSID 同 
接 入 点 进行 关联 时 ， 还 是 可 以 通过 无 线 监 控 (窃听 ) 工具 获取 该 无 线 网 络 的 SSID， 因 此 ESSID 
隐身 不 能 说 是 非常 完备 的 安全 对 策 。 


ESSID 隐身 的 结构 



































如 果 不 设置 ESSID 隐身 功能 ， 接 入 点 
就 会 定期 广播 SSID 信息 SSID="abcde” 


SSID="abcde” 
SSID="apcde” 7 二 






无 线 LAN 终端 


网 络 





无 线 LAN 的 接 入 点 








如 果 ESSID 隐身 功能 生效 ， 则 无 法 
有 效 地 获取 SSID 信息 





国 MAC 地 址 过 滤 

在 接 人 点 中 事先 设置 允许 关联 的 MAC 地 址 列表 ,能够 防止 设置 以 外 的 无 线 客户 端 接 入 AP 
使 用 无 线 网 络 的 情况 发 生 ， 该 方法 称 为 MAC 地 址 过 滤 或 MAC 地 址 认证 (图 6-10 )。 

除了 设置 接 入 点 之 外 ， 还 可 以 通过 RADIUS 服务 器 设置 允许 访问 接 入 的 MAC 地 址 信息 ,在 
认证 的 同时 完成 MAC 地 址 过 滤 。 但 是 ，MAC 地 址 同样 能 够 通过 工具 伪装 和 冒充 ， 对 能 够 接 入 
无 线 LAN 的 MAC 地 址 进行 监听 ， 就 能 够 得 到 具体 的 MAC 地 址 信息 ， 因 此 该 方式 也 同样 不 能 
称 为 完备 的 安全 对 策 。 
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MAC 地 址 过 滤 的 结构 





注册 的 MAC 地 址 MAC 地 址 

00:11:22:33:44:55 00:11:22:33:44:55 
11:22:33:44:55:66 
00:00:11:aa:bb:cc 







网 络 








无 线 LAN 接 入 点 


MAC 地 址 
aa:bb:cc:11:22:33 


06.04.03” 接 入 点 的 认证 








在 接 入 点 上 使 用 ESSID 隐身 以 及 MAC 地 址 过 滤 功 能 均 不 能 完全 防止 第 三 者 恶意 访问 的 情 
况 ， 因 此 为 了 彻底 防止 不 明 意图 的 用 户 访问 接 人 点 ， 需 要 执行 认证 行为 。 

IEEE 802.11 作为 最 初 的 LAN 标准 提供 了 名 为 “开放 系统 认证 ”和 “共享 密 钥 认 证 ”两 种 认 
证 方式 。 





国 开放 系统 认证 

开放 系统 认证 ( Open System Authentication ) 属于 无 线 LAN 认证 方式 中 的 一 种 ， 该 方式 无 需 
客户 端 输入 用 户 名 以 及 密码 等 认证 信息 就 能 向 接 和 点 发 出 认证 请 求 。 

无 线 LAN 接 和 点 能 够 容纳 所 有 接 和 人 认证 请 求 ， 这 也 就 意味 着 无 论 是 谁 都 能 够 同 接 入 点 进行 
关联 。 

开放 系统 认证 一 般 用 于 公共 无 线 LAN 中 。 无 论 是 谁 都 能 够 完成 接 人 甚至 是 无 加 密 地 接 人 
LAN， 因 此 在 使 用 中 还 需要 配合 IPsec VPN 或 SSL VPN 技术 来 完成 用 户 最 终 访 问 网 络 的 需求 。 














国 共享 密 钥 认证 

共享 密 钥 认证 ( SharedKey Authentication ) 在 接 入 点 和 客户 端 之 间 进 行 无 线 加 密 通信 时 使 
用 。 使 用 WEP 或 WPA 加 密 标 准时 ， 对 接 入 点 以 及 客户 端 预先 设置 同样 的 口令 ， 通 过 该 口令 就 
可 以 建立 二 者 间 的 无 线 通信 链 路 。 

该 口令 称 为 预 共 享 密 钥 ( pre-shared key )， 不 知道 该 预 共享 密 钥 的 客户 端 无 法 和 接 人 点 进行 
关联 。 
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国 IEEE 802.1X 

IEEE 802.1X 是 用 户 认证 与 访问 控制 协议 ， 不 仅仅 适用 于 无 线 LAN， 有 线 LAN 也 同样 适用 。 

IEEE 802.1X 认证 如 图 6-11 所 示 ， 由 认证 请 求 方 、 认 证 者 、 认 证 服务 器 3 部 分 组 成 。 请 求 
认证 的 终端 (或 终端 上 运行 的 请 求 认 证 的 软件 ) 称 为 认证 请 求 方 (Supplicant )、 同 终端 相连 的 
接 和 点、 交换 机 以 及 其 他 网 络 设备 称 为 认证 者 ( Authenticator )。 认 证 方式 采用 EAP (Extensible 
Authentication Protocol， 扩 展 认证 协议 )， 认 证 者 将 来 自 认 证 请 求 方 的 EAP 消息 封装 成 RADIUS 
数据 帧 中 继 给 认证 服务 器 ， 当 认证 服务 器 完成 认证 工作 后 ,认证 者 会 通知 认证 请 求 方 并 同时 将 认 
证 请 求 方 视 为 通过 认证 的 终端 ， 以 后 从 该 终端 发 来 的 MAC 数据 帧 均 能 够 转发 至 LAN 上 的 其 他 
终端 或 互联 网 上 。 

认证 信息 使 用 用 户 名 、 口 令 、 数 字 证 书 等 任意 一 种 方式 即 可 ， 对 应 的 认证 协议 有 EAP-MD5、 
EAP-TLS、EAP-TTLS 等 各 种 类 型 。 关 于 IEEE 802.1X 认证 的 详细 内 容 可 以 参考 本 书 02.08.09 节 
“基于 端口 认证 ”的 相关 内 容 。 


IEEE 802.1X 中 的 用 户 认证 





































认证 请 求 方 认证 者 LAN 认证 服务 器 
( 无线 LAN 终端 ) ( 无线 LAN 的 接 入 点 ) (RADIUS) 


EAP 一 





802.1X 认 证 一 





06.04.04 无线 LAN 通信 的 加 密 


空气 中 传输 的 无 线 电波 只 要 在 覆盖 范围 内 就 能 被 第 三 方 接收 到 ， 再 加 上 无 线 LAN 数据 解析 
工具 的 存在 ， 恶 意 用 户 能 够 相当 轻松 地 窃听 他 人 的 无 线 通信 内 容 。 

为 了 防止 无 线 通 信 被 窃听 以 及 算 改 ， 必 须 在 无 线 通信 过 程 中 对 信息 进行 加 密 处 理 。 无 线 
LAN 加 密 一 般 有 WEP、WPA 、WPA2 等 这 些 标准 。 

随 着 计算 机 能 力 的 提高 ， 加 密 技术 也 迅速 发 展 ， 因 此 尽 可 能 使 用 最 新 的 加 密 标准 比较 好 。 下 
面 本 书 将 会 对 各 类 无 线 LAN 加 密 标准 逐一 介绍 。 








国 WEP 
WEP ( Wired Equivalent Privacy， 有 线 等 效 保 密 ) 是 1999 年 作为 IEEE 802.11b 标准 安全 系统 
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采用 的 无 线 加 密 技术 ,通过 使 用 基于 RC4 算法 的 密 钥 加 密 形式 完成 无 线 LAN 数据 的 加 密 





6-12 )。 该 加 密 方式 的 密 钥 称 为 WEP key。 


WEP 一 共有 3 种 加 密 方式 : 40bit 长 度 的 密 钥 同 24bit 长 度 的 初始 向 量 (ITV，Initialization 
Vector ) 值 组 成 64bit 长 的 加 密 方式 ，104bit 长 度 的 密 钥 同 24bit 长 
加 密 方式 ， 以 及 128bit 长 度 的 密 钥 同 24bit 长 度 的 初始 向 量 值 组 成 152bit 的 加 密 方式 。 

WEP 属于 最 早 的 无 线 安 全 标准 ， 密 钥 长 度 越 得 ， 破 解 花费 的 
加 密 通 信 最 短 也 会 采用 128bit 的 总 密 钥 长 度 ， 甚 至 有 的 还 采用 了 尚 








度 的 密 钥 和 24bit 的 初始 向 量 值 组 成 152bit 的 WEP 加 密 方式 进 


WEP 的 无 线 通信 加 密 技术 


设置 WEP 密 钥 =“abc12” 


无 线 LAN 接 入 点 


WEP 密 钥 的 种 类 








无 法 连接 





度 的 初始 向 量 值 组 成 128bit 的 





时 间 也 越 短 ， 因 此 目前 主流 的 
未 通过 标准 化 的 、 由 128bit 长 





间 行 通信 。 


WEP 密 钥 “abc12” 


Sm LAN 终端 
加 密 后 运 接 、 不 会 被 究 听 > 


XO 


无 线 LAN 终端 


WEP 密 钥 =“xyz98” 
































ASCII 设置 16 进 制 设置 
能 够 使 用 的 字符 数字 a-z、A-Z、0-9 A-F、0-9 
40bit ( 60bit ) 的 WEP key 5 字符 10 位 数 
104bit ( 128bit ) 的 WEP key 13 字符 26 位 数 
128bit ( 152bit ) 的 WEP key 16 字符 32 位 数 
国 WPA 





WEP 存在 较 明 显 的 脆弱 性 ， 为 了 弥补 该 缺陷 而 制定 的 无 线 LAN 安全 标准 就 是 WPA ( Wi-Fi 


Protected Access，Wi-Fi 保护 接 入 )。 








WPA 是 由 Wi-Fi 联盟 于 2002 年 10 月 发 布 的 Wi-Fi 安全 性 标准 。 该 标准 将 SSID 与 WEP 密 


钥 一 同 加 密 ， 并 且 使 用 了 能 够 定期 自动 更 新 月 








Protocol， 临 时 密 钥 完整 性 协议 )。 





日 户 认证 功能 和 密 钥 的 TKIP ( Temporal Key Integrity 


WPA 原本 属于 2004 年 制定 的 IEEE 802.11i 中 加 密 标准 的 一 部 分 ， 但 为 了 使 实现 了 IEEE 
802.11a/b 等 早期 标准 的 硬件 设备 也 能 够 使 用 WPA， 因 此 该 加 密 标 准 先 于 IEEE 802.11i 进行 了 公 
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WPA 提供 了 用 于 小 规模 的 个 人 模式 (Personal Mode ) 和 用 于 企业 的 企业 模式 (Enterprise 
Mode ) 两 种 模式 。 

在 个 人 模式 中 的 WPA 也 称 为 WPA-PSK， 同 接 入 点 之 间 连 接 的 客户 端 使 用 所 有 密 钥 都 相同 
的 预 共享 密 钥 (PSK，Pre-shared Key ) 方式 。 

企业 模式 的 WPA 主要 用 于 企业 网 络 ,， 在 PSK 的 基础 上 增加 了 IEEE 802.1X 认证 服务 器 ,使 
得 不 同 用 户 能 够 使 用 不 同 的 用 户 名 和 密码 连接 至 接 人 点 。 


WEP 与 TKIP 的 比较 












































WEP TKIP 
密 钥 长 度 40bit 或 104bit 128bit 
初始 向 量 24bit 48bit 
密 钥 更 新 无 有 
加 密 算法 RC4 RC4 
防 自 改 无 通过 MIC 机 制 防 自 改 


国 WPA2 

WPA2 是 Wi-Fi 联盟 于 2004 年 9 月 发 表 的 新 版 WPA 标准 ， 采 用 AES 作为 加 密 算法 。AES 
多 用 于 IPsec 以 及 SSL 等 协议 中 ， 同 WEP、WPA 所 使 用 的 RC4 相 比 ， 加 密 的 安全 性 更 高 ( 表 
6-10 )。AES 支持 长 度 为 128bit、196bit、256bit 的 密 铀 ，WPA2 使 用 其 中 的 128bit 长 度 类 型 。 
WPA2 兼容 前 一 代 WPA， 支 持 WPA2 的 硬件 设备 和 只 支持 WPA 的 设备 也 能 够 进行 通信 。AES 
中 采用 了 类 似 TKIP 的 协议 CCMP ( Counter mode CBC-MAC protocol，CBC-MAC 计数 模式 协 
议 )， 其 中 CBC-MAC (cipher block chaining/message authentication code ) 是 密码 段 连接 / 消息 认 
证 码 的 意思 。 

接 入 点 的 加 密 设 置 可 以 选择 WPA-PSK (TKIP )、WPA-PSK ( AES )、WPA2-PSK (TKIP ) 或 
WPA2-PSK ( AES )。 
























































国 |IEEE 802.11i 
IEEE 802.11i 是 由 IEEE 在 2004 年 完成 标准 化 的 无 线 LAN 安全 标准 。 虽 然 之 前 无 线 LAN 有 
WEP 加 密 标准 ， 但 其 安全 性 尚 不 足以 保障 高 安全 的 通信 过 程 。 
因此 ，IEEE 802.11i 成 为 了 新 版 无 线 LAN 安全 性 标准 。 在 该 标准 的 标准 化 工作 完成 之 前 ， 
Wi-Fi 联盟 使 用 了 其 中 的 部 分 内 容 作为 WPA 加 密 标准 进行 了 发 布 。 
IEEE 802.11i 加 密 通信 标准 几乎 包括 WPA、WPA2 的 所 有 内 容 ， 另 外 还 添加 了 IEEE 802.1X 
与 EAP 作为 用 户 认证 的 标准 。 
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WEP WPA WPA2 
(IEEE 802.11 ) ( Wi-Fi Alliance ) (IEEE 802.11i) 

标准 制定 时 间 1997 年 2002 年 2004 年 
加 密 方式 WEP TKIP CCMP 
加 密 算法 RC4 RC4 AES 
数据 完整 性 保证 基于 CRC32 的 校 验 和 MIC CCM ( Counter with CBC-MAC ) 
认证 方式 WEP 自身 不 提供 但 可 和 |EEE | PSK 或 |EEE 802.1X PSK 或 IEEE 802.1X 

802.1X 配合 使 
安全 强度 弱 中 强 




















06.04.05 ”自治 型 接 入 点 














能 够 自身 进行 无 线 控制 以 及 安全 管理 功能 设置 的 接 人 点 称 为 自治 型 接 入 点 (Autonomous 
AccessPoint )， 与 其 相对 的 概念 是 集中 管理 型 接 人 点 。 在 通过 1 台 或 者 多 台 的 接 入 点 构建 无 线 
LAN 时 ， 部 署 自治 型 接 入 点 较为 轻松 ， 费 用 也 相对 低廉 。 在 多 台 接 和 人 点 环境 中 ， 若 想 变 更 通用 
的 安全 策略 等 参数 设置 时 ， 需 要 重新 设 定 每 一 台 接 入 点 。 



































06.04.06 ”集中 管理 型 接 入 点 


在 大 规模 办 公 区 这 种 很 广 的 范围 内 部 署 LAN 时 ,需要 管理 的 接 入 点 数目 非常 庞大 。 这 种 
情况 下 ， 每 个 接 入 点 只 需 保留 最 基本 的 设置 ， 安 全 策略 等 组 网 共同 的 参数 则 通过 一 种 称 为 无 线 
LAN 控制 器 (无 线 LAN 交换 机 ) 的 硬件 设备 进行 集中 统一 设置 与 管理 ， 这 类 无 线 LAN 中 的 接 
入 点 就 称 为 集中 管理 型 接 入 点 。 

2002 年 Airspace 公司 (2005 年 被 思科 公司 收购 ) 开发 了 LWAPP ( Lightweight Access Point 
Protocol， 轻 型 接 入 点 协议 )， 通过 该 协议 接 入 点 能 够 只 需 完 成 MAC 管理 和 数据 帧 控制 ， 认 证 
以 及 安全 等 功能 则 交 给 无 线 LAN 控制 带 ， 这 样 的 接 入 点 称 为 轻型 接 入 点 ( Light weight Access 
Point )。 

只 要 是 文 持 LWAPP 的 接 入 点 , 不 管 是 哪个 厂家 生产 的 都 可 以 进行 上 述 管 理 。LWAPP 协 
议 在 RFC5412 文档 中 进行 描述 ,但 标准 化 工作 却 未 能 进行 ， 因 此 只 能 放 于 Historic 分 类 中 。 在 
RFC 标准 体系 中 ，CAPWAP ( Control And Provisioning Of Wireless Access Points， 无 线 接 入 点 的 控 
制 和 配置 ) 的 制定 基于 LWAPP 协议 ,通过 RFC5415 以 及 RFC5416 完成 了 标准 化 。 

接 入 点 由 于 产品 类 型 以 及 软件 版 本 的 不 同 ， 有 些 产品 只 支持 LWAPP 协议 ， 而 有 些 产品 只 支 
持 CAPWAP。 新 上 市 的 产品 一 般 都 支持 CAPWAP。 
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无 线 LAN 控制 器 有 供 小 规模 无 线 LAN 网 络 使 用 的 产品 ， 例 如 1 台 控 制 需 管理 10 台 左 右 的 
接 入 点 ， 也 有 供 大 规模 无 线 LAN 网 络 使 用 的 控制 器 产品 ， 例 如 1 台 控 制 器 控制 多 达 2000 台 以 上 
的 接 入 点 。 








06.04.07 无 线 LAN 的 桥接 


在 无 法 布线 的 楼 宇 之 间 以 及 在 物理 位 置 相距 较 远 的 站 点 之 间 部 署 无 线 连接 时 ， 需 要 使 用 无 线 
LAN 的 桥接 技术 。 
在 通信 距离 较 长 时 ,需要 使 用 导向 天 线 来 增强 某 个 特定 方向 的 电波 强度 。 


河上 桥接 示意 图 





互联 网 























个 人 计算 机 






< 3 
个 人 计算 机 





06.04.08 ”中 继 器 连接 


通过 连接 中 继 右 ， 将 从 无 线 LAN 客户 端 收 到 的 数据 转发 给 拥有 相同 SSID 的 接 入 点 ， 就 能 
够 扩大 无 线 LAN 的 范围 (图 6-14 )。 
1 级 中 继 器 连接 后 ， 网 络 吞 吐 率 会 减 半 。 
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中 继 器 连接 图 





ee LAN 


无 线 LAN 接 入 点 


Ea 轩 ( 中 继 器 ) 





06.05 无线 LAN 通信 速率 与 覆盖 范围 的 要 点 


参考 无 线 LAN 标准 ， 可 以 得 知 IEEE 802.11b 最 大 支持 11Mbit/s 的 传输 速率 ，IEEE 802.11g 
最 大 支持 54Mbit/s 的 传输 速率 ， 不 过 需要 注意 这 里 的 速率 数据 都 是 在 最 优 条 件 下 得 出 的 值 。 

无 线 LAN 和 有 线 LAN 不 同 ， 通 信 速 率 根据 与 接 人 点 之 间距 离 的 变化 以 及 建筑 物 、 墙 壁 等 
物理 障碍 物 阻 挡 程度 的 不 同 ， 会 有 很 大 差异 。 


























06.05.01 无 线 LAN 的 最 大 通信 速率 


























虽然 说 有 线 LAN 的 以 太 网 类 也 有 最 大 通信 速率 的 限制 ， 但 是 快速 以 太 网 的 100Mbit/s 和 
IEEE 802.11g 的 54Mbit/s 都 表示 的 是 在 物理 层 进行 数据 通信 时 的 传输 速率 极限 。 

另外 ， 由 于 在 无 线 LAN 中 使 用 了 CSMA/CA 的 冲突 回避 协议 ， 使 得 数据 在 发 送 时 有 等 待 的 
时 间 。 因 此 无 线 LAN 实际 的 最 大 通信 速率 一 般 在 IEEE 802.11a 中 只 能 达到 20 多 Mbit/s, IEEE 
802.11b 中 只 能 达到 4.5Mbit/s， 在 IEEE 802.11g 中 只 能 达到 20Mbit/s 左右 。 


























06.05.02 ”覆盖 范围 


在 基础 设施 模式 下 ,终端 能 够 同 接 入 点 进行 通信 的 最 大 距离 半径 称 为 履 盖 范围 ( coverage 
area )， 也 称 为 小 区 ( cell )。 根据 终端 同 接 入 点 之 间距 离 的 不 同 ， 最 大 数据 传输 速率 ( 最 大 传输 速 
度 ) 也 会 有 所 不 同 ， 离 接 入 点 越 远 ， 通 信和 延迟 越 大 ， 数 据 传输 速率 也 就 越 低 。 在 没有 障碍 物 的 前 
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提 下 ， 无 线 LAN 的 履 盖 范围 如 图 6-15 所 示 ， 呈 同心 圆 状 分 布 。 
通信 覆盖 的 范围 


11Mbit/s 
5.5Mbit/s 


2Mbit/s 





1Mbit/s 

















复 直 江南 





于 不 同 无 线 LAN 标准 的 数据 传输 速率 
IEEE 802.11a/b/g 中 采用 OFDM 调制 方式 提供 了 8 个 数据 传输 速率 ，DSSS 调制 方式 则 提供 
了 4 个 数据 传输 速率 ( 表 6-11 )。 


IEEE 802.11a/b/g 的 数据 传输 速率 














标准 调制 方式 数据 传输 速率 ( Mbit/s ) 
IEEE 802.11a OFDM 6/9/12/18/24/36/48/54 
IEEE 802.11g DSSS、OFDM 1/2/55/6/9/11/12/18/24/36/48/54 
IEEE 802.11b DSSS TZ GM 














国 IEEE 802.11n 的 数据 传输 速率 

IEEE 802.11n 使 用 OFDM 调制 方式 ， 能 够 根据 各 种 可 选调 制 方式 与 符号 速率 ,定义 0 至 31 
个 MCS 索引 ( Modulation and Coding Scheme index : 每 个 MCS 索引 又 分 别 定义 了 一 种 数据 传输 

速率 。 表 6-12 列 出 了 各 MCS 索引 使 用 的 数据 流 数量 、 调 制 方式 以 及 数据 传输 速率 。 

数据 传输 速率 根据 信道 带宽 和 保护 间隔 ( GI，Guard Interval ) ”的 组 合 在 每 个 MCS 中 存在 
4 种 模式 。 

使 用 20MHz 作为 信道 带宽 的 称 为 HT20 模式 ， 使 用 40MHz 作为 信道 带宽 的 则 称 为 HT40 
模式 。 

在 IEEE 802.1ln 中 ,通过 MIMO 技术 能 够 将 发 送 数据 分 割 成 多 个 数据 流 (stream ) ( 即 数据 




















中 5 或 墙壁 反射 回来 的 无 线 电波 经 过 多 条 路 径 到 达 接 收 方 (多 径 传 输 ) 时 ， 延 迟 的 信号 可 能 会 与 后 续 信 号 同时 
到 达 ， 这 会 造成 多 个 数据 信号 合成 电磁 波 进而 形成 噪音 干扰 的 现象 发 生 。 为 了 防止 这 种 噪音 干扰 ， 需 要 复制 一 部 分 
on 该 间隔 即 称 为 保护 间隔 。 
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信道 )， 每 条 独立 的 数据 流通 过 多 个 天 线 使 用 相同 的 频带 同时 发 送 。 在 使 用 HT40 模式 时 ， 单 个 


数据 流 能 够 获得 150Mbit/s 的 吞吐 量 ， 因 此 在 机 








论 上 能 够 得 到 最 大 600Mbit/s 的 数据 传输 速率 。 


在 HT20 模式 下 











据 IEEE 802.11n 标准 使 用 最 多 4 条 数据 流 时 ， 理 





时 ， 单 个 数据 流 最 大 也 能 够 获得 75Mpbs 的 吞吐 率 。 





对 HT40 模式 继续 扩展 ， 使 用 80MHz 或 160MHz 作为 信道 带宽 时 ， 能 够 得 到 2 倍 甚至 4 倍 


| 











于 IEEE 802.1ln 的 通 

在 IEEE 802.1ln 中 使 月 
条 信道 同时 工作 ， 而 如 果 使 用 40MHz 带宽 则 只 有 1 条 可 月 
使 用 HT40 模式 。 


























信 速 率 ， 目 前 能 够 实现 该 通信 速率 的 IEEE 802.11ac 标准 正在 制定 中 。 


日 2.4GHz 频带 时 ， 如 果 每 条 信道 使 用 20MHz 的 带宽 ， 最 多 也 够 有 3 














保护 间隔 在 IEEE 802.11a/g 使 用 的 800ns 基础 上 上， 又 添加 了 400ns。 
目前 (2011 年 9 月 ) 市 场 上 只 有 支持 两 条 数据 流 的 产品 ， 支 持 所 有 数据 速率 的 无 线 LAN 硬 
件 尚 未 出 现 。IEEE 802.1ln 中 HT20 模式 可 以 选择 400ns 作为 数据 传输 速率 的 保护 间隔 ， 也 尚 无 


支持 该 项 特性 的 无 线 模 块 在 市 场 上 销售 。 
本 于 BB 各 MCS 索引 对 应 的 数据 传输 速率 





信道， 因此 在 2.4GHz 频带 下 几乎 不 



























































本 数据 传输 速率 ( Mbit/s ) 
MCS 索引 | ”数据 流 数量 6 HT20 HT40 

GI=800ns Gl=400ns GI=800ns GI=400ns 
BPSK i122 6.5 7.2 13.5 Ts:0 
QPSK 1/2 13:0 14.4 27.0 30.0 
OPSK 3/4 19.5 21:7 40.5 45.0 
16-OAM 1/2 26.0 28.9 54.0 60.0 
16-OAM 3/4 39.0 43.3 81.0 90.0 
64-OAM 2/3 52.0 57.8 108.0 120.0 
64-OAM 3/4 58.5 65.0 121.5 135:0 
64-OAM 5/6 65.0 72.2 135.0 150.0 
BPSK 1/2 18:0 14.4 27.0 30.0 
OPSK /2 26.0 28.9 54.0 60.0 
QPSK 3/4 39:0 43.3 81.0 90.0 
16-OAM 1/2 52.0 57.8 108.0 120.0 
16-OAM 3/4 78.0 86.7 162.0 180.0 
64-OAM 2/3 104.0 115.6 216.0 240.0 
64-OAM 3/4 TZ:0. 130.0 243.0 270.0 
64-OAM 5/6 130.0 144.4 270.0 300.0 
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( 续 ) 
nl 数据 传输 速率 ( Mbit/s ) 
MCs 案 引 | 数据 流 数 量 | “| 和 HT20 HT40 
Gl=800ns GI=400ns GIl=800ns Gl=400ns 

16 3 BPSK 1/2 19.5 21.7 40.5 45.0 
17 QPSK 1/2 39.0 43.3 81.0 90.0 
18 QPSK 3/4 58.5 65.0 T1275 135.0 
19 16-QAM 1/2 78.0 86.7 162.0 180.0 
20 16-QAM 3/4 117.0 130.0 243.0 270.0 
21 64-OAM 2/3 156.0 173:3 324.0 360.0 
22 64-OAM 3/4 175.5 195.0 364.5 405.0 
23 64-OAM 5/6 195.0 216.7 405.0 450.0 
24 4 BPSK 1/2 26.0 28.9 54.0 60.0 
25 QPSK 1/2 52.0 57.8 108.0 120.0 
26 QPSK 3/4 78.0 86.7 162.0 180.0 
27 16-QAM 1/2 104.0 115.6 216.0 240.0 
28 4 16-QAM 3/4 156.0 173.3 324.0 360.0 
29 64-OAM 2/3 208.0 231.1 432.0 480.0 
30 64-OAM 3/4 234.0 260.0 486.0 540.0 
31 64-OAM 5/6 260.0 288.9 540.0 600.0 
e 多 径 











MIMO 使 用 配 有 天 线 的 多 个 无 线 通 信 线 路 使 通信 速率 大 幅 上 升 。 

空间 上 相互 独立 的 多 个 天 线 会 同时 发 送 频 率 相同 的 无 线 信号 (图 6-16 )， 各 个 同 频 信和 号 可 以 
称 为 空间 数据 流 。 各 空间 数据 流 由 发 送 天 线 进行 路 径 2 了 分割， 最 终 到 达 多 个 接收 天 线 。 

发 送 方 使 用 空 时 编码 ( STC，Space-Time Coding ) 将 发 送信 号 在 时 间 和 空间 上 进行 重组 形成 
并 列传 输 信号 ， 然 后 通过 M 个 天 线 发 送 通 信和 电波 。 

接收 方 通过 N 个 天 线 接收 多 径 传 输 来 的 无 线 电波 ， 同 样 使 用 空 时 解码 ( STD，Space-Time 
Decoding ) 对 信号 进行 分 离 组 合 ， 从 而 成 功 接收 所 有 信号 。 
































(由 ” 指 空间 上 的 传输 路 径 。 多 个 路 径 汇 总 后 形成 多 径 传 播 。 
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使 用 MIMO 进行 无 线 通信 
个 通过 在 时 间 和 空间 上 对 信息 进行 组 合 与 替 | | G@) 接收 天 线 接 收 来 E | 
'" 将 发 送 数 据 分 离 成 M 个 数据 流 。 通 过 个 发 送 天 线 的 混合 信号 | 
个 发 送 天 线 在 空间 中 发 送 。 ~ — J 























by 














多 径 传输 接收 天 线 


话 痒 沼 济 

































































STC 
| @ N 个 接收 天 线 接收 无 线 电波 后 ， 进 行 空 时 。 | | 团 将 分 离 的 信号 组 合 ， 
解码 ( STD ) ， 去 除 混杂 在 多 个 信号 中 的 | 形成 接收 数据 














干涉 信号 ， 将 不 同 的 信号 分 离 ~ 


在 多 径 传输 中 通过 使 用 多 条 路 径 ， 能 够 与 天 线 数量 ( 空间 数据 流 ) 形成 正比 来 提高 无 线 数据 
的 传输 速度 
e 天 线 数 量 

如 图 6-17、 图 6-18 中 所 示 ， 支 持 IEEE 802.11n 标准 的 无 线 LAN 接 入 点 同时 带 有 多 个 天 线 。 

空间 数据 流 的 数量 依赖 于 天 线 的 数量 ， 一 般 使 用 “a x b:c” 或 “a xb” 来 表示 无 线 LAN 硬件 
所 能 使 用 的 天 线 数量 。a 表示 发 送 天 线 或 发 送 的 无 线 信号 数量 ，b 表示 接收 天 线 或 接收 的 无 线 信 
号 数 两 ，c 表示 可 以 利用 的 最 大 空间 数据 流 的 数量 。IEEE 802.11n 最 大 支持 4x4:4 的 数量 。IEEE 
802.11n 对 应 的 无 线 LAN 装置 一 般 有 2x2:2，2x3:2，3x3:2 等 规格 。 例 如 2x3:2 表示 由 2 根 发 送 天 
线 与 3 根 接收 天 线 组 成 ,使 用 2 个 空间 数据 流 进行 无 线 数据 的 传输 。 

也 有 硬件 规格 说 明 书 中 采用 “天 线 : 3 根 发 送 、3 根 接收 ”这 种 形式 来 描述 。 
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河 5 3x3:3 规格 的 WZR-450HP ( Buffalo 公司 ) 





区 要 [中 2x2:2 规格 的 WHR-HP-G300N ( Buffalo 公司 ) 
























































































































































2x2:2 收发 天 线 各 有 两 根 ， 整 体 使 用 2MHz 带宽 进行 通信 。 最 大 速率 为 144.4MHz 

2x3:2 更 用 2 根 天 线 同 时 发 送 ， 使 用 3 根 天 线 进行 接收 。 收 发 均 使 用 两 条 数据 流 进行 。 通 过 3 根 天 
线 对 接收 的 数据 进行 整合 ， 合 成 效果 多 样 化 ， 即 使 在 障碍 物 阻挡 导致 无 线 信号 反射 的 环境 下 ， 
也 能 够 稳定 地 通信 

4x4:4 收发 均 使 用 4 根 天 线 进行 ， 使 用 40MHz 带宽 。 通 信 速 率 约 为 2x2 结构 的 2 倍 












































06.05.03 干涉 


根据 词典 的 解释 ， 波 的 干涉 意 为 “两 个 以 上 相同 种 类 的 波 在 茶点 相遇 时 ， 使 该 点 处 波 的 振幅 
为 两 个 波 振幅 之 和 的 现象 "。 不 仅仅 是 无 线 LAN 使 用 的 电磁 波 有 该 现象 ， 光 波 、 声 波 均 会 发 生 干 
涉 现象 。 

在 电气 传输 中 会 产生 电磁 波 ， 但 出 现 预料 之 外 的 电磁 波 就 是 造成 干涉 现象 的 原因 。 比 如 突然 
出 现 的 雷 声 会 造成 收音 机 杂音 的 混入 等 。 

在 无 线 通 信 中 ， 不同 的 、 频 率 的 无 线 电 波 均 有 各 自 的 传输 路 径 ， 在 各 传输 路 径 上 进行 数据 的 
收发 ， 这 个 传输 路 径 就 称 为 信道 ( channel )。 
































图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 








06.05 无 线 LAN 通信 速率 与 覆盖 范围 的 要 点 | 321 











在 电磁 波 能 够 到 达 的 范围 内 ， 如 果 多 个 无 线 LAN 系统 在 同一 条 信道 内 进行 通信 ， 就 会 发 生 
干涉 现象 。 

另外 ， 如 同 打雷 造成 收音 机 杂音 的 例子 ， 那 些 诸如 雷电 、 微 波 炉 携带 的 电磁 波 如 果 和 载 有 无 
线 LAN 数据 的 电磁 波 发 生 重 合 ， 就 会 破坏 传输 的 数据 进而 造成 无 法 通信 的 结果 。 这 类 情况 也 属 
于 干涉 现象 。 

防止 打雷 这 类 电磁 波 带 来 的 影响 非常 困难 ， 但 是 避免 来 自 其 他 无 线 LAN 系统 的 干涉 还 是 可 
以 通过 更 改 信道 信息 做 到 的 。 








06.05.04 无线 LAN 信道 


无 线 LAN 标准 中 使 用 2.4GHz 和 5GHz 频带 ， 各 频带 均 存 在 多 条 信道 。 在 办 公 室内 设置 接 
人 点 时 ， 为 了 防止 干涉 需要 将 信道 设置 为 内 能 式 。( 图 6-19 ) 


防止 干涉 的 信道 设置 
































会 发 生 干 涉 的 信道 设置 不 会 发 生 干 涉 的 信道 设置 


国 IEEE 802.11b 的 信道 

IEEE 802.11b 中 定义 了 从 1 至 14 的 14 个 信道 。 但 并 不 是 说 ， 只 要 选择 了 数字 不 相同 的 信道 
就 一 定 不 会 发 生 干 涉 。 

如 图 6-20 所 示 ，1ch 使 用 的 频带 同 2ch~5ch 使 用 的 频带 有 一 定 的 重合 ， 因 此 还 是 会 发 生 
干涉 。 这 样 看 来 , 在 IEEE 802.1lb 中 能 够 使 用 不 发 生 干涉 的 最 大 信道 数量 有 4 个 (1ch、6ch、 
llch、 14ch )。 

如 果 附 近 有 使 用 了 1ch 的 无 线 LAN 系统 ， 则 须 将 2ch、7ch、12ch 这 三 组 信道 组 合 使 用 。 
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2 IEEE 802.11b 的 信道 干涉 


道 6 ”信道 6~14 ( 其 中 信道 14 只 在 
中 定义 





与 信道 1 不 会 发 生 干 涉 的 只 





























2.401GHz 


人 ESEKE)》 IEEE 802.11b 的 信道 与 频带 


2.483GHz 2.495GHz 





















































注 1: 








只 有 IEEE 802.11b 中 存在 。 


国 IEEE 802.11a 的 信道 
IEEE 802.11a 是 使 用 SGHz 频带 的 无 线 LAN 标准 。 在 该 标准 颁布 时 ， 由 于 日 本 无 线 电 管理 
法 对 该 频段 有 所 限制 ， 因 此 日 本 分 割 的 频带 同 美国 、 欧 洲 有 很 大 的 不 同 。 
在 2003 年 的 世界 无 线 通信 大 会 上 ,， 诸 国 对 5GHz 频带 的 分 配 意见 达成 共识 ， 因 此 日 本 也 于 


2005 





年 修改 了 无 线 电 管理 法 相关 法 规 。 
如 此 一 来 ， 各 无 线 信 道 的 中 心 频 


们 























带 以 10MHz 划分 ， 同 国际 标准 一 致 ， 而 ] 





无 线 频 带 ( GHz ) 
信道 二 和 中 心 频 带 ( GHz ) 
1ch 2.40 2.423 2.412 
2ch 2.406 2.428 24107 
3ch 241 2433 2.422 
4ch 2.416 2.438 Di 
5ch 2.421 2.443 2.432 
6ch 2.426 2.448 2.437 
7ch a 2.453 2.442 
8ch 2.436 2.458 2.447 
9ch 2.44 2.463 2.452 
10ch 2.446 2.468 2.457 
11ch 2.451 2.473 2.462 
12ch 2.456 2.478 2.467 
13ch 2.46 2.483 2472 
14ch 至 ， 2.473 2.495 2.484 


旦 在 原 有 的 基 








图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 














06.05 无 线 LAN 通信 速率 与 覆盖 范围 的 要 点 | 323 














础 上 又 添加 了 5.25~5.35GHz (室内 使 用 无 需 许可 ) 与 4.9~5.0GHz (室外 使 用 ) 两 个 频带 。 其 中 
4.9~5.0GHz 频带 于 2004 年 12 月 由 IEEE 802.11j 完成 了 标准 化 工作 ?。 

男 外 ，2007 年 1 月 日 本 再 度 修改 了 无 线 电 管理 法 ， 又 添加 了 5.47~5.72GHz 之 间 的 11 个 信道 
(CW56)。 目 前 ， 日 本 在 SGHz 频带 能 够 使 用 的 无 线 LAN 信道 有 多 达 19 个 (图 6-21 )。 

在 使 用 支持 IEEE 802.11a 标准 的 无 线 LAN 接 和 人 点 时 ， 需 要 注意 其 使 用 的 信道 频带 是 否 符合 
需求 。 无 线 LAN 的 接 和 人 点 还 可 以 通过 升级 固件 将 支持 的 旧 信道 升级 为 支持 新 的 信道 。 
日 本 5GHz 频带 中 信道 的 发 展 

5.15GHz 5.25GHz 5.35GHz 5.45GHz 


和 
日 本 以 前 使 用 的 802.11a 信道 。 
同 国际 标准 相差 10MHz， 在 













































































Le 5.2GHz 中 能 够 使 用 4 个 信道 也 
变更 前 为 日 本 独 有 j 
3 上 二 517GHz 5.19GHz 5.21GHz 522GHz -一 一 - 、 
发 揭 后 (34ch) (38ch) (42ch) (46ch) 国际 标准 802.11a 使 用 的 信 






































道 。 新 增 了 4 个 








a 





W52 NALS} 














| | | | | | | | 


5.18GHz 5.20GHz 5.22GHz 5.24GHz 5.26GHz 5.28GHz 5.30GHz 5.32GHz 
(36ch) (40ch) (44ch) (48ch) (52ch) (56ch) (60ch) (64ch) 


5.45GHz 5.55GHz 5.65GHz 5.75GHz 
区 年 1 月 新 增加 的 11 | 
个 信道 














W54 








5.50GHz 5.52GHz 5.54GHz | 5.56GHz 5.58GHz 5.60GHz 5.62GHz 5.64GHz | 5.66GHz 5.68GHz 5.70GHz 
(100ch) (104ch) (108ch) (112ch) (116ch) (120ch) (124ch) (128ch) (132ch) (136ch) {140ch} 





在 IEEE 802.11a 中 JS2 标准 范围 内 使 用 时 ， 如 图 6-21 所 示 ， 所 有 信道 均 能 够 无 干涉 地 使 用 。 
在 W52 与 W53 标准 范围 内 使 用 时 ， 所 有 信道 也 能 够 无 干涉 地 使 用 , 但 JS2 和 W52 中 的 无 
线 信道 不 能 同时 使 用 。 


国 IEEE 802.11g 的 信道 

在 IEEE 802.11g 标准 中 ， 有 1 至 13 共 13 个 信道 。 频 段 划分 同 IEEE 802.11b 中 lch 至 13ch 
完全 相同 ( 表 6-13 )。 这 些 信道 之 间 最 多 能 够 无 干涉 使 用 的 信道 数量 有 3 个 (如 1ch、6ch 和 11ch 
的 组 合 )。 

IEEE 802.11g 同 IEEE 802.11a (5GHz 频带 ) 一 样 使 用 OFDM 技术 能 够 支持 最 大 通信 速率 为 








中 ”我国 SGHz 频带 也 正 有 工信部 处 于 规划 阶段 ，5150-5350MHz 已 划 出 供 Wi-Fi 使 用 。 详 情 可 参考 http://www.ccstock.cn/ 
finance/hangyedongtai/2013-08-07/A1283907.html。 一 -一 译 者 注 
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54Mbit/s 的 高 速 传 输 。 但 因为 使 用 的 是 2.4GHz 频带 (ISM 频带 了)， 所 以 和 其 他 硬件 间 的 干涉 较 
多 ， 实 际 春 叶 速率 要 低 于 IEEE 802.11a。 


回 IEEE 802.11n 的 信道 

2007 年 6 月 日 本 修改 了 无 线 电 管理 法 。 在 这 之 前 的 无 线 LAN 数据 传输 ， 如 图 6-22 所 示 只 
能 使 用 1 个 20MHz 带宽 的 信道 ， 但 无 线 电 管 理 法 修改 以 后 ， 如 图 6-23 所 示 可 以 同时 使 用 相 邻 
的 信道 ， 在 40MHz 的 带宽 中 传输 数据 。 这 样 一 来 ，IEEE 802.1ln 最 大 通信 速率 的 理论 值 也 从 
144.4MHz 提升 到 300MHz。 








图 开 丈 区 5GHz 频带 下 每 信道 20MHz 中 能 够 使 用 8 条 信道 
站 1 个 信道 -20MHz 带宽 ] 











40ch 44ch 48ch 52Ch 56ch 60ch 64ch 


5.175.18.5.19" .5:2 5.21 .522.5.23.5.24 5.25.5.26 5:27. .5.28.5.29, 65.35:31 5.325:.33'(‘GHz) 


加 本 有 后 5GHz 频带 下 每 信道 40MHz 中 能 够 使 用 4 条 信道 
| 1 个 信道 =40MHz 带宽 | 



















44ch 48ch 52ch 56ch 60ch 64ch 





5.17 5.18 5.19 5.2 5.21 5.22 5.23 5.24 5.25.5.26 5.27 5.28 .5.29 5.3 5.31 5.32 5.33( GHz ) 


06.05.05 ” 接 入 点 的 最 大 通信 范围 


无 线 LAN 通信 中 ， 离 开 接 入 点 多 远 依然 能 够 进行 通信 ? 和 其 他 无 线 电 产品 类 似 ， 这 一 问题 
的 答案 取决 于 天 线 。 天 线 根据 不 用 的 用 途 分 为 不 同 的 种 类 ( 表 6-14 )。 
家 庭 以 及 小 型 办 公 区 经 常 使 用 不 定向 型 的 天 线 。 在 无 线 LAN 的 通信 距离 中 ， 室 内 覆盖 的 范 






































围 一 般 在 几 十 米 至 几 百 米 之 间 ， 室 外 覆盖 的 范围 则 常常 需要 达到 几 百 米 至 几 公里 的 程度 。 
天 线 的 种 类 
















































































名 称 是 否定 向 说 明 
全 方向 天 线 ( Omni Antenna ) 不 定 应 能 够 全 方位 发 送信 号 
双 极 天 线 ( Dipole Antenna) 不 定 应 用 2 根 一 波长 或 半 波 长 的 细 金 属 棒 制作 的 天 线 ， 一 般 在 接 入 点 
中 作为 标准 天 线 人 

















中 Industrial Scientific Medical， 工 业 、 科 学 和 医疗 用 波段 ， 有 很 多 非 通信 领域 的 设备 使 用 该 频段 工作 。 





译 者 注 
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名 称 说 明 
接线 天 线 ( Patch Antenna ) 定 户 和 处 展开 ， 向 某 一 方向 发 出 信号 
八木 天 线 定 下 é 方向 的 狭窄 范围 发 出 强力 信号 ， 一 般 在 道路 、 隧 道 、 办 公 























































































































抛物 面 天 线 ( Parabola Antenna ) | 定 上 t 方向 非常 狭窄 的 范围 发 出 强力 信号 ， 一 般 在 连接 长 距离 办 

































































某 产品 无 线 覆 盖 范 围 示 例 










5.5Mbit/s 


5.5Mbit/s 


1Mbit/s 
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06.06 无线 LAN 的 接 入 点 产品 


06.06.01 


产品 规格 书 的 阅读 方法 


无 线 LAN 接 入 点 产品 的 规格 书 如 表 6-15 所 示 ， 该 规格 书 以 无 线 LAN 搭载 的 各 种 功能 
见 06.04 节 ) 以 及 各 传输 标准 信道 的 相关 信息 为 主要 内 容 。 


无 线 LAN 接 入 点 产品 规格 书 范例 


说 明 


产品 


产品 2 


( 参 


< 
































同 有 线 LAN 连接 的 接 





























接口 标准 





10/100BASE-TX 
( RJ-45 ) x 1 


10/100/1000BASE-T 
( RJ-45 ) x1 





天 线 





天 线 是 内 置 还 是 外 带 


内 置 





外 带 





无 线 网 络 


802.11a 
( W52/W53 ) 





802.11a ( W56 ) 





802.11b/g 








802.11n | 5GHz 





2.4GHz 





是 否 支持 IEEE 802.11 中 的 各 








传输 标准 ( 参考 06.03 节 ) 





O 


O 





x 





O 





x 





x 





最 大 数据 传输 速率 


理论 上 能 够 达到 的 
输 速率 ( 参考 06. 





54Mbit/s 


300Mbit/s 





同时 工作 的 





802.11a 





信道 数量 


802.11b/g 








802.11n | 5GHz 





2.4GHz 





























各 标准 能 同时 人 























( 参考 06.05.04 节 ) 


8 





3 





无 


T20)、 
T40 ) 





无 





T20 )、 
不 支持 ( HT40 ) 








= 
时 


























设置 或 同时 使 
数目 ( 参考 06.04.02 节 ) 























的 最 大 SSID 


16 


16 











电源 适配器 








电源 适配器 的 规格 ( 输入 
交流 电源 频率 ) 








电压 、 





AC100V、 
50/60Hz 


AC100V、 
50/60Hz 





























是 否 支持 通过 PoE 供 





IEEE 802.3af PoE 
(Class 3 ) 


IEEE 802.3af PoE 
( Class 3 ) 























大 消耗 电能 


15.4W 


15.4W 





0.67kg 


1.04kg 














量 
吊 




















常 工作 的 温度 范围 








0~40°C 


0~40°C 








图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 





06.06 无线 LAN 的 接 入 点 产品 | 327 


06.06.02 无线 LAN 硬件 的 制造 厂商 





用 于 企业 的 无 线 LAN 产品 以 思科 公司 的 Aironet 为 代表 ，Aruba Networks 公司 、Contec 公 
司 2、Allied Telesis 公司 、Proxim Wireless 公司 、Motorola Solutions 公司 的 产品 均 在 业内 赫赫 有 名 。 


国 Cisco Aireonet 

思科 公司 的 Aireonet 系列 无 线 LAN 产品 在 日 本 以 及 在 全 世界 都 享有 很 高 的 市 场 占有 率 ， 其 
前 身 是 在 FCC 开放 ISM 频带 后 的 1986 年 ， 由 私人 “创办 的 加 拿 大 Telesystem SLW 公司 销售 的 
ARLAN 系列 产品 。Telesystem SLW 公司 在 1992 年 被 Telxon 公司 收购 ， 随 后 无 线 通 信和 部 门 在 
1994 年 独立 出 来 ， 设 立 了 新 公司 Aironet Wireless Communication。1999 年 思科 公司 收购 该 公司 ， 
直至 现今 。 

Cisco Aironet 系列 产品 的 无 线 LAN 接 入 点 如 表 6-16 所 示 。 











[ 


EI》 Cisco Aironet 系列 





























型 号 照片 说 明 
1130 系列 双 频 IEEE 802.11a/b/g 接 入 点 产品 。 内 置 天 线 、 外 形 美观 、 部 署 方 便 ， 
(室内 AP ) 适合 办 公 室 使 用 。 有 自治 型 和 集中 管理 型 两 种 可 以 选择 









































































































































1140 系列 重视 便捷 部 署 与 节能 ， 多 用 于 企业 的 IEEE 802.11n 接 入 点 产品 。 产 
( 室内 AP ) 一 评 | 品 设 计 适 用 于 办 公 环 境 ， 支 持 标准 的 IEEE 802.3af Power over 
> Ethernet， 部 署 方便 电源 消耗 少 。 能 够 提供 高 可 靠 性 以 及 稳定 性 的 



































WLAN 覆盖 ， 对 于 支持 IEEE 802.11a/b/g 标准 的 老 客户 端 以 及 支持 
IEEE 802.11n 的 新 客户 端 均 能 保持 兼容 并 提升 了 体验 。 有 自治 型 
和 集中 管理 型 两 种 可 以 选择 
1250 系 殉 符合 Wi-Fi 802.11n Draft 2.0 标准 的 商用 型 接 入 点 产品 。 能 够 提供 高 
( 室内 耐用 型 AP ) ee 可 靠 性 以 及 稳定 性 的 WLAN 覆盖 ， 对 于 支持 IEEE 802.11a/b/g 标准 
的 老 客户 端 以 及 支持 IEEE 802.11n 的 新 客户 端 都 均 能 保持 兼容 并 提 了 

了 用 户 体 验 。 使 用 了 MIMO ( Multiple-Input Multiple-Output， 多 输入 
Ee 仁 出 ) 技 术 保障 稳定 性 ， 能 够 在 2.4GHz 和 5GHz 频带 工作 ， 提 供 最 大 
300Mbit/s 的 数据 传输 速率 















































































































































































































































(DD 1975 年 成 立 于 日 本 电子 产品 公司 。 译 者 注 
@ 该 公司 创始 人 为 前 马 可 尼 无 线 通信 公司 的 员工 。 








译 者 注 
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( 续 
型 号 照片 说 明 
1240 系列 第 二 代 双 频 IEEE 802.11a/b/g 接 入 点 产品 。 金 属 外 过， 经 久 耐 用 。 适 




















( 室内 耐用 型 AP ) 





应 工作 温度 的 范围 广 。 通 过 加 装 外 部 天 线 ， 能 够 覆盖 很 大 的 范 车 
工厂 、 仓 库 、 店 铺 等 各 种 RF 环境 中 均 能 够 灵活 组 网 配置 。 有 自治 型 
和 集中 管理 型 两 种 可 以 选择 








El 
O 










































































1300 系列 
( 室外 耐用 型 AP ) 














单 频 IEEE 802.11a/b/g 室外 接 入 点 /网 桥 产 品 。 最 适合 用 于 室外 空间 、 
校园 内 网 络 连接 以 及 移动 网 络 的 基础 设施 建设 中 。 有 自治 型 和 集中 管 
理 型 两 种 可 以 选择 
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网 络 硬件 设备 的 选 购 要 品 














生 能 的 方法 6 


章 还 将 介绍 产品 性 能 说 








网 络 设备 时 ， 考 





的 阅读 方法 、 产 品 调 











方法 、 从 性 能 和 价格 两 方 
等 内 容 。 


























日 选择 





产品 的 方法 以 及 产品 售 
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07.01 选择 产品 的 类 别 








选择 产品 类 别 (参考 01.04.02 节 ) 时 需要 考虑 以 下 因素 : 是 否 需 要 一 台 主 要 进行 路 由 选择 的 
路 由 器 ， 是 否 需要 核心 交换 机 ， 是 否 需要 负责 安全 控制 的 防火 墙 ， 以 及 上 述 设备 在 网 络 中 将 要 如 
何 配置 。 












































产品 类 别 

。 路 由 器 。 负 载 均 衡器 ( 负载 均衡 装置 ) 
。L2 交换 机 。 带 宽 控制 装置 

e1L3 交换 机 e 代 理 

。 防 火 墙 

e 无 线 LAN 接 入 点 











普通 校园 网 络 的 组 成 








汇聚 /核心 交换 机 








互联 网 
































在 新 建 LAN 时 ， 根 据 图 7-1 中 组 成 普通 校园 网 络 的 产品 类 别 去 选择 对 应 的 产品 即 可 。 

当 现 存 网 络 中 需要 符 换 某 些 网 络 硬 件 时 ， 大 致 上 也 会 选择 相同 类 别 的 产品 。 不 过 如 果 性 能 允 
许 , 使 用 L3 交换 机 或 者 防火 墙 来 蔡 换 路 由 器 也 是 可 以 的 。 另 外 ,使 用 L3 交换 机 替换 L2 交换 机 
也 不 会 惠 来 什么 问题 。 

在 涉及 安全 设备 时 ， 由 于 茶 些 防火 墙 产品 搭载 了 基于 内 容 的 安全 控制 功能 ， 因 此 可 以 考虑 统 
一 使 用 防火 墙 来 取代 独立 的 防 病毒 设备 、URL 过 滤 设 备 、IDS/IPS 设备 等 ， 从 而 达到 降低 成 本 的 
目的 。 
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07.02 ”基于 功能 需求 汇总 备 选 设 备 型 号 














选 定 了 产品 类 别 后， 就 要 根据 所 需 的 功能 需求 ， 在 该 类 别 内 检索 出 符合 要 求 的 备 选 产品 型 
号 ， 一 般 需 要 考虑 下 面 这些 要 点 来 进行 这 一 步骤 。 





国 网 络 接口 与 网 络 接口 速率 
e WAN 侧 和 LAN 侧 物理 网 络 接口 的 数目 是 否 符合 需求 。 像 RJ-45 的 10/100/1000BASE-T 或 
SFP 的 1000BASE-SX 这 类 ， 网 络 接口 形状 和 物理 层 协议 是 否 符合 要 求 。 
e 当 使 用 VLAN 或 虚拟 路 由 器 时 ， 需 要 子 网 络 接口 ( 逻辑 网 络 接口 ) 的 数量 是 否 符合 需求 。 
e 当 需 要 使 用 IEEE 802.1ad 等 汇聚 接口 时 ， 汇 聚 后 能 否 保障 足够 的 网 络 带 宽 。 




















国 性 能 
e 行 吐 率 ( 传输 速率 ) 是 否 足 够 。 
e 使 用 ASIC 或 FPGA 等 硬件 处 理 的 功能 范围 和 使 用 CPU 等 软件 处 理 的 功能 范围 是 多 少 ， 
根据 这 些 信 息 处 理 哪些 通信 流量 能 够 得 到 高 性 能 ， 处 理 哪些 通信 流量 很 难得 到 高 性 能 。 
e 在 进行 内 容 扫 描 时 ， 能 够 被 扫描 多 大 容量 的 文件 。 
e 如 果 想 要 同时 运行 多 个 功能 ,设备 的 CPU 使 用 率 以 及 内 存 占用 率 是 否 有 和 盔 余 。 























加 软件 的 功能 
e 文 持 各 种 协议 的 情况 ， 拥 有 哪些 独立 的 功能 。 
。 网 络 功能 。 
。 管理 功能 。 
。 报告 功能 。 


国 迁移 的 便捷 性 
。 蔡 换 设备 时 ， 使 用 和 现 有 设备 相同 广 商 并 运行 相同 操作 系统 的 设备 更 容易 迁移 。 

















国 售后 支持 
e 产品 是 能 够 现场 维护 还 是 需要 寄 回 原 厂 。 
e 支持 受理 的 时 间 。 
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07.03 网络 硬件 的 采购 流程 


在 采购 包括 网 络 硬件 设备 在 内 的 信息 系统 产品 时 ， 灵 活 使 用 RFI 以 及 RFP 将 大 有 神 益 。 








07.03.01 RFI 与 RFP 








RFI (Request for Information， 信 息 提 供 请 求 书 ) 是 指 企 业 或 机 构 在 进行 产品 采购 或 业务 委 
托 时 为 了 明确 需求 ， 从 外 部 业务 供应 商 获取 信息 的 做 法 ， 也 可 以 指 记载 了 这 些 信息 的 文档 资料 。 
RFI 提供 了 编写 RFP (Requests for Proposal， 征 求 建议 书 ) 的 基础 信息 。 例 如 ， 某 用 户 企业 在 采 
购 最 新 的 网 络 硬 件 时 ， 用 户 企业 的 负责 人 仅 根 据 产品 目录 、 宣 讲 会 、 互 联网 资料 等 普通 的 公开 信 

息 往往 很 难 做 出 选择 。 这 时 他 就 会 联系 销售 公司 或 者 系统 集成 厂商 等 潜在 采购 对 象 ， 请 求 他 们 提 
供 ) 选 定 产品 时 需要 的 信息 。 

RFI 是 在 交涉 具体 的 提案 、 报 价 之 前 进行 的 。 当 收 到 多 个 供应 商 提供 的 RFI 时， 采购 方 的 用 
户 企业 会 向 候补 供应 商 提 供 RFP。RFP 中 记载 7 具体 的 需求 信息 ， 供 应 商 将 根据 RFP 编写 详细 
的 方案 建议 书 并 递交 给 用 户 企 业 。 用 户 企 业 对 该 方案 建议 书 进行 探讨 研究 后 ， 最 终 决定 选择 哪个 
供应 商 的 产品 (图 7-2 )。 


RFI 实施 的 流程 






































编写 RFP、 ”评价 建议 方案 、 
议 选择 IT 供应 商 
































编写 方案 提交 方案 
建议 书 建议 书 





表 7-1 展示 了 IT 协调 委员 会 (http:Wwww.itc.or.jp/index.html ) 制作 的 RFP 样 书 ( 并非 所 有 
RFP 都 要 按照 此 样 书 的 项 目 和 内 容 编写 )。 


RFP 中 的 项 目 范例 


























1. 系统 概况 系统 架设 的 背景 、 系 统 架构 的 目的 和 方针 、 想 解决 的 问题 、 目 标 预期 的 效果 、 同 现 有 系统 的 关联 、 



































公司 和 组 织 的 架构 、 新 系统 的 用 户 、 预 算 
2. 方案 建议 书 的 相 | 方案 建议 书 的 操作 手续 和 日 程 表 、 方 案 建议 书 的 接口 人 、 方 案 的 相关 资料 、 参 与 的 资格 条 件 、 选 
关 手 续 定 方案 书 的 方法 
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( 续 ) 
3. 方 案 建议 书包 含 | 提供 方案 的 公司 信息 、 方 案 的 范围 、 采 购 的 内 容 和 提供 服务 的 业务 详细 信息 、 系 统 的 组 成 、 产 品 
事项 的 质量 和 达到 性 能 的 前 提 条 件 、 9 前 提 条 件 、 交 付 日 期 以 及 日 程 表 、 交 付 条 件 、 常 规 报告 以 
及 共同 评审 内 容 、 开 发 推进 的 机 发 管理 、 开 发 方法 、 开 发 语言 、 迁 移 方法 、 培 训 内 容 、 维 
护 条 件 、 采 购 的 环保 情况 、 费 用 预 其 他 
4. 开发 的 前 提 条 件 | 开发 时 间 、 开 发 地 点 、 开 发 使 用 的 计算 机 硬件 和 材料 的 情况 、 借 用 物品 及 其 资料 
5. 保修 需求 系统 质量 保修 的 标准 、 
6. 合同 相关 订单 形式 、 签 收 、 付 费 条 件 、 保 修 年 限 ( 无 缺陷 的 责任 担保 时 间 )、 保 密 事 项 、 知 识 产 权 、 其 他 
附加 资料 需求 功能 清单 、DFD ( Data Flow Diagram， 数 据 流 图 )、 信 息 模型 、 当 前 的 文档 卷 、 当 前 的 文档 布 

































































































































































































































































































































































网 络 产 品 采购 的 RFP 范例 


。 采购 的 背景 和 目的 
。 规格 与 编写 投标 规格 说 明 书 的 注意 事项 
。 系统 需求 规格 
* 系统 需求 条 件 ( 共同 规格 、 通 信 协 议 、 网 络 组 成 、 系 统 组 成 ) 
* 采购 产品 需要 达到 的 技术 条 件 
。 实施 需求 规格 
* 网 络 设计 
* 网 络 架构 
e 网 络 硬件 的 配置 
e 交付 条 件 ( 交付 期 限 、 交 付 场地 ) 
。 维护 




































































表 7-2 展示 了 网 络 产 品 采购 相关 的 RFP 内 容 范 例 。 在 “采购 产品 需要 达到 的 技术 条 件 ” 中 记 
载 了 采购 网 络 设备 应 该 具备 的 功能 、 性 能 等 内 容 ， 有 时 也 指定 了 产品 的 类 型 编导 。 更 加 详细 的 规 
格 需求 说 明 书 范例 如 表 7-3 所 示 。 
E33》 网 络 设备 的 规格 需求 说 明 书 范例 ” 



























































需求 条 件 内 容 
电气 条 件 。 符 合 电气 产品 安全 法 、 电 气 产品 安全 实施 法 、 电 气 产品 安全 实施 法 细则 和 满足 制定 电气 产品 技术 



































标准 的 各 部 委 相 关 规 定 



























































































































































































































































e 保证 产品 不 会 因 突 发 电流 冲击 对 其 他 网 络 产品 带 来 影响 
电磁 波 妨 码 。 需要 达到 电磁 波 妨碍 自主 控制 规定 VCCI Class A 级 的 标准 
运行 环境 e 周围 温度 在 10%C ~35"C 之 间 时 设备 不 会 发 生 异 常 行为 

。 湿度 在 20%~80% 范 围 内 时 设备 不 会 发 生 异 常 行为 

。 同 带电 物品 接触 时 不 会 用 放电 现象 导致 设备 发 生 异 常 行为 
外 观 。 产品 构造 便于 维护 检查 以 及 操作 

。 产品 机 框 结构 能 够 抵抗 外 部 压力 且 不 易 破损 

e 可 以 安装 在 19 英寸 通用 机 架 上 














中 VCCI 是 日 本 的 电磁 兼容 认证 标志 ， 由 日 本 电磁 干扰 控制 委员 会 (Voluntary Control Council for Interference by Information 
译 者 注 





Technology Equipment) 管理 。 





图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 


334 | 第 7 章 网 络 硬件 设备 的 选 购 要 点 
















































































( 续 ) 
需求 条 件 内 容 
可 靠 性 条 件 e。 MTBF 在 50000 小 时 以 上 
电气 条 件 。 电源 电压 为 AC 单 相 100~110V 或 200~220V 之 间 ( 交流 电 频 率 为 50Hz 或 60Hz ) 范 围 内 时 设备 不 
会 发 生 异 常 行为 
。 电源 插座 能 够 配备 平行 2P 接地 线 





























。 消耗 电能 ( 标准 配置 下 ) 在 350W 以 下 

硬件 条 件 e 机 框 配 有 4 个 端口 以 上 的 10BASE-T/1000BASE-TX 自动 识别 网 络 接 
eVPN 性 能 在 500Mbit/s 以 上 
软件 功能 条 件 e 配 有 主 备 方式 ( Active/Standby ) 或 双 活 方式 ( Active/Active ) 的 宛 余 结构 
e 配 有 VLAN 功能 
e 支 持 VLAN 的 AES 加 密 

硬件 维护 条 件 e 维护 形式 采用 现场 维护 ( 厂商 出 差 修理 
e 维护 受理 时 间 是 除 休息 日 以 外 的 9:00 到 17:30。 休 息 日 是 指 周 六 、 周 日 、 节 假日 ( 国家 的 法 定 节 假 
) 以 及 年 末年 初 ( 12 月 29 日 至 来 年 1 月 1 日 )*。 另 外 ， 产 品 咨 询 接待 时 间 也 如 上 所 示 






















































































































































































mm 





































































































。 在 全 国 各 个 都 道 府 县 ” 均 设 有 维护 机 构 ， 支 持 当 地 的 维修 请 求 
。 有 2 名 以 上 拥有 至 少 3 年 经 验 的 工程 师 参 与 支持 工作 























。 在 产品 售 出 的 5 年 内 免费 提供 维护 零 部 件 
软件 维护 条 件 。 维护 受理 时 间 同 硬件 维护 受理 时 间 相 同 。 维 护 方式 包括 电话 、FAX、 电 子 邮 件 等 ， 对 软件 相关 的 问 
题 与 咨询 进行 全 面 的 支持 
® 当 被 要 求 拿 出 紧急 方案 来 应 对 操作 系统 的 bug 时， 能够 迅速 提供 方案 。 应 急 方 案 的 形式 包括 ( 1 ) 
提供 软件 补丁 、( 2 ) 提 示 回 避 软 件 bug 引发 的 异常 操作 的 措施 
环境 要 求 。 符合 “合理 使 用 能 源 相关 法 律 ( 节省 能 源 法 规 )” 的 产品 也 同样 符合 “汽车 、 家 电 、OA 硬件 相关 
定 标准 ( 节省 能 源 标 准 

e 不 含有 附件 中 说 明 的 规定 以 外 的 违禁 物质 。 如 果 经 调查 发 现 含 有 违禁 物质 ， 需 要 提供 相关 废弃 方 
法 、 能 够 进行 废弃 处 理 的 从 业 公司 信息 等 ， 建 立 携手 促进 环境 保护 的 保障 制度 





















































































































































































































































国 功能 证 明 

为 了 保障 提供 的 产品 能 够 真正 满足 用 户 企业 要 求 的 规格 与 功能 ， 在 根据 RFP 信息 提交 的 方 
案 建 议 书 中 还 可 以 附加 产品 目录 、 操 作 手 册 等 产品 相关 的 公开 文档 给 用 户 企业 。 如 果 无 法 提 
供 这 些 文档 ， 生 产 厂商 或 销售 公司 也 可 以 编写 并 提交 产品 的 功能 证 明 书 这 一 类 文件 资料 给 用 
户 企业 。 








07.03.02 RFQ 


用 户 企 业 通过 RFI 以 及 RFP 接受 了 供应 商 提供 的 系统 方案 建议 书后 ， 如 果 需 要 进行 涉及 预 








由， Mean Time Between Failures， 平 均 故 障 间 隔 时 间 。 
@@ 这 里 的 节假日 指 的 是 日 本 的 情况 。 译 者 注 
@ 日 本 的 行政 单位 ， 相 当 于 国内 的 省 市 、 直 辖 市 、 自 治 区 等 。 


译 者 注 








译 者 注 


图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 








07.04 ”根据 性 能 选择 产品 的 型 号 | 335 





算 费 用 的 报价 步 台 ， 则 可 以 要 求 供应 商 提供 详细 的 RFQ( Request For Quotations， 报 价 请 求 说 明 
书 ) 文档 。 


07.04 ”根据 性 能 选择 产品 的 型 号 


07.04.01 ”收集 同 网 络 延 迟 相 关 的 信息 





路 由 天 之 类 的 网 络 硬 件 一 般 都 会 有 转发 分 组 的 操作 ， 分 组 离开 发 送 地 向 地 理 位置 分 离 的 目的 
地 传输 的 过 程 中 ， 总 会 有 延迟 ( delay ) 产生 。 
在 网 络 中 传输 声音 以 及 影像 等 实时 通信 流量 时 ， 需 要 收集 各 个 路 由 器 之 间 同 延迟 有 关 的 参数 





























信息 ， 必 须 将 减少 端 到 端 (end to end ) 的 网 络 延 迟 作为 整个 网 络 设计 的 重要 目标 。 

ITU-T 推荐 的 G.114 定义 了 从 发 送 源 至 发 送 目的 地 单 向 发 生 的 网 络 延迟 信息 ， 并 将 延迟 分 成 
了 3 个 类 别 ， 具 体 如 表 7-4 所 示 。 
3》 延迟 的 定义 ( 单 向 延迟 ) 


延迟 的 数值 
150 毫秒 以 内 几乎 所 有 的 用 户 应 用 程序 都 能 使 用 






















































































150~400 毫秒 对 于 传输 时 间 以 及 传输 质量 要 求 不 高 的 用 户 应 用 程序 能 够 使 
400 毫秒 以 上 一 般 网 络 设计 不 允许 存在 该 延迟 
























































延迟 的 分 类 如 表 7-5 所 示 。 
延迟 的 种 类 






























































































































































延迟 的 种 类 说 明 
端 到 端 延 迟 分 组 从 发 送 源 转发 后 ， 到 达 目 的 地 所 需要 的 时 间 。 分 组 在 路 途中 经 过 的 网 络 硬件 数量 越 多 该 值 
( end-to-end delay ) 就 越 大 
处 理 延 迟 从 分 组 进入 设备 流入 接口 后 ， 到 进入 流出 接口 的 队列 之 间 所 需要 的 时 间 ， 一 般 只 有 几 微 秒 左右 
( processing delay ) 基站 交换 机 或 路 由 器 
| 
流入 接 和 接 
处 理 延 迟 









































从 进入 路 由 器 或 交换 机 的 流入 接口 到 进入 流出 接口 队列 之 间 的 时 间 
























































分 组 化 延迟 数据 在 进行 编码 、 压 缩 ， 填 入 有 效 载荷 等 操作 需要 的 时 间 ， 一 般 在 几 十 毫秒 左右 
( packetization delay ) 
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( queuing delay ) 


时 间 越 长 有 












































~ 六 0 
二 二 一 二 二 





流入 接 
队列 延迟 











0 延迟 越 大 ， 一 般 寿 








E 几 毫秒 至 10 毫秒 左右 














分 组 进入 后 在 队列 中 停留 的 时 间 





QoS 优先 级 控制 = 队列 








上 接 











的 延迟 控制 








( 续 ) 
延迟 的 种 类 说 明 
队列 延迟 分 组 在 流出 接口 的 队列 中 停留 的 时 间 。 进 行 QoS 控制 时 ， 优 先 级 越 低 的 分 组 在 队列 中 停留 的 








































































































































































































( propagation delay ) 


























速度 。 光 纤 一 般 1km 的 距离 需要 6 微 秒 左右 的 时 间 


-全 光一 全 全 











串 行 化 延迟 分 组 在 接口 进行 发 送 时 ， 进 行 电气 、 光 、 电 磁 波 等 物理 信号 转换 时 需要 花费 的 时 间 ， 具 体 数值 
( serialization delay ) 可 以 通过 “分 组 尺寸 + 带宽 ”的 公式 计算 得 到 。 速 率 越 高 的 网 络 接口 ， 串 行 化 延迟 时 间 就 越 
低 。64 字 节 的 分 组 使 用 64kbit/s 带宽 进行 传输 时 ， 串 行 化 过 程 所 需 时 间 为 8 毫秒 
流入 接 

串 行 化 延迟 

分 组 进行 物理 信号 变换 所 花费 的 时 间 一 

分 组 尺寸 /带宽 
传播 延迟 物理 信号 通过 线 缆 或 无 线 电波 等 传输 媒介 到 达 下 一 个 设备 所 花费 的 时 间 ， 依 赖 于 介质 的 传输 







































































( de-jitter delay ) 


国 时 延 



































= 二 = 
传输 延迟 
物理 信号 传输 所 花费 的 时 间 约 6 hs/km 
网 络 延 迟 途径 WAN 以 及 互联 网 进行 通信 时 ， 分 组 通过 这 些 网 络 需要 的 时 间 。 根 据 电气 通信 管理 办 法 ， 
( network delay ) 于 IP 电话 的 网 络 一 般 平 均 延 迟 时 间 需 在 70 毫秒 以 下 
去 抖动 延迟 殉 用 缓存 去 除 拌 动 需要 的 时 间 ， 一 般 在 几 十 毫秒 之 间 


网 络 硬件 从 接收 数据 后 到 再 次 发 送 数据 之 间 所 花费 的 延迟 时 间 称 为 时 延 (latency )。 时 延 越 


小 说 明 设 备 高 速 处 理 分 组 的 能 


述 ” 的 时 间 。 





就 越 强 。 时 延 大 臻 上 相当 于 “处 理 延迟 + 队列 延迟 + 串 行 化 延 





“吞吐 率 测试 的 结构 ”( 参 考 07.04.02 节 的 图 7-3 ) 中 ， 从 测试 仪器 输出 的 分 组 经 过 路 由 器 
(DUT?”) 后 再 度 返 回 测试 仪器 所 花费 的 时 间 ， 也 被 测试 仪器 定义 为 时 延 。 最 新 的 网 络 设备 产品 该 





© 


Device Under Test， 被 测 仪器 。 





译 者 注 
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数值 一 般 在 几 微 秒 左右 。 

可 以 收发 的 最 大 数据 帧 数 能 够 在 几 微 秒 的 处 理 延迟 时 间 内 全 部 转发 出 去 ， 该 项 特性 指标 称 
为 实现 线 速率 或 对 应 线 速 ， 体 现 了 物理 线路 传输 数据 能 够 达到 的 最 高 速度 。 具 体 以 快速 以 大 网 为 
例 ， 快 速 以 太 网 线 速 为 在 1 秒 内 能 够 转发 148810 个 大 小 为 64 字 节 的 数据 帧 (参考 07.04.03 小 节 
中 的 “交换 能 力 ”)。 























国 抖动 

以 一 定时 间 间 隔 进行 分 组 发 送 时 ， 该 时 间 间 隔 在 实际 传输 途中 变 长 或 变 短 的 现象 称 为 jitter 
或 抖动 。 例 如 ， 从 发 送 源 每 隔 5 毫秒 发 送 分 组 ， 接 收 方 接收 到 分 组 的 实际 时 间 间 隔 却 是 4、3、 
6、5、7 毫秒 这 样 不 停 变 化 的 结果 。VoIP 以 及 流 媒体 应 用 程序 能 够 通过 反 抖 动 缓存 ( de-jitter 
buffer ) 来 吸收 部 分 拌 动 ， 但 如 果 拌 动 过 大 就 会 导致 声音 、 画 面 突然 中 断 的 后 果 。 在 举行 实时 双 
方向 流 媒 体 视频 会 议 时 ， 一般 推荐 延迟 在 150 毫秒 以 内 ， 拌 动 在 35 毫秒 以 内 的 网 络 环境 。 与 之 
相 比 ， 进 行 单 向 视频 流 媒体 由 于 应 用 程序 接收 缓存 能 够 处 理 部 分 延迟 和 抖动 ， 因 此 能 够 允许 双向 
10 倍 以 上 的 网 络 延迟 时 间 。 

根据 电气 通信 相关 法 律 法 规 ，IP 电话 网 络 产生 的 抖动 (ITU-T Y.154 建议 书 中 提 及 的 分 组 传 
输 平 均 延 民 时 间 中 的 抖 劲 值 ) 必须 在 20 毫秒 以 下 。 





























加 分 组 丢失 

网 络 上 传输 的 分 组 没有 如 期 达到 目的 地 的 现象 称 为 分 组 丢失 ， 也 可 称 为 分 组 损失 ( packet 
loss ) 或 分 组 丢弃 ( packet drop )。 分 组 丢失 通过 分 组 丢弃 率 的 百分比 来 表示 。 根 据 电气 通信 相关 
法 律 法 规 ，IP 电话 网 络 的 分 组 丢弃 率 须 在 0.1% 以 下 。 





加 往返 时 间 
发 送 源 发 送 的 分 组 到 达 发 送 目的 地 后 ， 目 的 地 生成 应 答 分 组 返 送 给 发 送 源 ， 直 到 发 送 源 接收 
到 应 答 分 组 的 这 个 过 程 需要 的 时 间 称 为 往返 时 间 (RTT，Round Trip Time )。 往 返 时 间 可 以 使 用 通 
过 ping 命令 发 送 ICMP Echo 消息 ， 再 收 到 ICMP Echo Reply 消息 的 方式 来 检测 (单位 为 毫秒 )。 
,E33 根据 通信 距离 不 同 需要 往返 时 间 的 差异 
通信 距离 

LAN 内 ( 几 百 米 左右 ) 1 毫秒 ~2 毫秒 左右 

广 域 以 太 网 VPN ( 日 本 国内 ) 5~20 毫秒 左右 
东京 至 冲绳 的 WAN 50~100 毫秒 左右 
东京 至 美国 的 互联 网 通信 200~300 毫秒 
通过 移动 电话 网 络 接 入 互联 网 100~300 毫秒 
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如 果 互 联网 发 生 延 迟 过 长 的 问题 ， 则 需要 通过 QoS 装置 或 路 由 顺 的 QoS 功能 对 分 组 转发 进 
行 优先 级 控制 ， 保 障 对 实时 性 要 求 高 的 应 用 程序 通信 量 优先 转发 ， 尽 可 能 减少 队列 延迟 。 另 外 ， 
Riverbed Technology 公司 销售 的 WAN 优化 装置 也 能 够 调整 网 络 通信 流量 ， 减 少 应 用 程序 的 延迟 
时 间 。 























07.04.02 ”网 络 设备 产品 性 能 的 测量 方法 


网 络 设 备 产品 的 性 能 可 以 通过 通信 流量 测试 负载 生成 侨 (traffic generator ) 进行 统计 测 
量 。 这 类 产品 中 比较 有 名 的 有 Spirent 公司 了 的 SmartBits、IXIA 公司 的 KNetwork 以 及 安立 公司 
(Anritsu ) 的 MD1230B 等 (参考 表 7-8 )。 

产品 目录 中 会 标 有 bit/s 以 及 pps 等 指标 单位 数值 ， 有 时 还 会 说 明 厂 商 是 在 什么 样 的 测试 环 
境 下 进行 计算 并 得 到 该 数值 的 。 当 在 产品 目录 中 标明 了 bit/s 数值 时 ， 需 要 特别 注意 该 数值 是 使 
用 多 大 字 节 的 卫 分 组 计算 得 出 的 。 


吞吐 率 测试 的 结构 


















































单方 向 吞吐 率 的 测试 
输入 输出 
路 由 器 
(DUT ) 

发 送 接收 
二 一 一 一 和 一 一 一 
测试 仪器 
Tx Rx 











双向 吞吐 率 的 测试 
























































发 送 接收 
4 一 一 
测试 仪器 
一 一 一 一 一 一 
接收 发 送 
中 ”该 公司 于 2012 年 8 月 被 XIA 公司 收购 。 译 者 注 
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测试 结构 如 图 7-3 所 示 。 测 试 对 象 装置 称 为 DUT ( Device Under Test )。 测 试 仪器 在 发 送 端 
口 (Tx，Transmit 发 送 ) 逐步 增加 发 送 至 路 由 器 的 分 组 数量 ， 然 后 在 接收 端口 (Rx，Receive 接 
收 ) 测 定 DUT 返回 的 分 组 数量 。 当 到 达 DUT 的 性 能 极限 时 ，DUT 上 就 会 发 生 分 组 丢失 的 现象 ， 
相对 于 测试 仪器 发 送 的 分 组 数量 接收 到 的 分 组 数 就 会 减少 。 

描述 DUT 不 发 生 分 组 丢失 而 持续 活跃 的 传输 能 力 指标 称 为 NDR ( non-drop rate )， 在 产品 目 
录 中 一 般 记 为 “最 大 传输 能 力 ” 或 “最 大 吞吐 率 ”( 图 7-4 )。 











NDR ( non-drop rate ) 


理想 特性 








测试 结果 











输入 





RFC2544 中 定义 了 网 络 硬件 吞吐 率 的 测试 方法 ， 并 推荐 了 各 个 数据 链 路 层 协议 测试 时 使 用 
的 数据 帧 尺寸 。 例 如 在 以 太 网 环境 中 ， 推 荐 使 用 64、128、256、512 、1024、1280、1518 字 节 大 
小 的 数据 帧 进行 测试 。 

测试 路 由 器 时 ， 测 试 仪器 经 常 使 用 能 够 模拟 互联 网 实际 通信 流量 、 被 称 为 IMIX ( Internet 
Mix ) 的 各 类 尺寸 分 组 组 合 来 进行 测试 。 表 7-7 列举 了 IMIX 的 范例 。 


IMIX 的 范例 


























例 1 例 2 
58.33% 的 64 字 节 数据 帧 57% 的 64 字 节 数 据 帧 
33.33% 的 570 字 节 数据 帧 7% 的 570 字 节 数据 帧 
8.33% 的 1518 字 节 数据 帧 16% 的 594 字 节 数据 帧 
20% 的 1518 字 节 数据 帧 





国 字 节 数据 帧 
如 果 路 由 顺产 品 在 其 产品 的 规格 说 明 书 中 告知 了 使 用 IMIX 测 出 的 NDR 值 ， 那 么 该 路 由 需 
在 实际 网 络 中 运行 的 性 能 一 般 也 会 与 该 值 保持 相近 的 高 度 。 
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国 使 用 通信 流量 负载 测试 装置 进行 测试 

用 来 测试 网 络 硬件 性 能 的 装置 一 般 可 以 称 为 通信 流量 测试 负载 生成 锅 (traffic generator )、 分 
组 负载 测试 器 (packet generator ) 或 者 网 络 模拟 器 (network emulator )。 

在 这 些 产 品 中 ，Spirent 公司 的 Avalanche/Reflector、Smartbit、IXIA 公司 的 IxLoad/IxNetwork、 
Empirix 公司 的 PacketSphere、BreakingPoint 公司 的 FireStorm 以 及 Anritsu 公司 的 MD1230 等 较 
为 著名 ( 表 7-8)。 

1 台 通 信 流 量 测试 负载 生成 器 通过 生成 L2 至 7 的 各 种 分 组 ， 能 够 模拟 百 万 台 客 户 端 连接 的 网 









































络 环境 。 通 过 该 测试 仪器 的 测试 能 够 明确 网 络 硬件 的 最 大 吞吐 率 、 最 大 在 线 会 话 数 等 各 项 性 能 指标 
数据 。 
主要 的 通信 流量 测试 负载 生成 器 产品 














































































































































































































































































































































































































产品 名 称 ( 制造 商 ) 照片 说 明 

Avalanche C100GT 支持 生成 HTTP、FTP、DNS、 电 子 邮件 、 流 媒体 、 文 

( Spirent ) 件 访问 等 几 十 种 以 上 的 应 用 程序 通信 流量 负载 。 支 持 
0G 网 络 接口 ， 能 够 同时 生成 4500 万 TCP 连接 以 及 
性 秒 250 万 次 以 上 的 HTTP 请 求 

IxLoad (IXIA) 能 够 同时 模拟 多 个 协议 和 模拟 百 万 级 别 的 会 话 。 在 模 
以 新 增 网 络 用 户 单位 时 ， 能 够 自动 根据 时 间 的 推移 
动 变更 通信 量 负载 情况 

MD1230B 1 支持 比特 率 范围 是 10Mbit/s~10Gbits/s， 用 于 IP 传输 

( Anritsu ) 炳 设备 、 系 统 的 开发 、 制 造 与 维护 的 测试 仪器 

IxN2X IXIA 公司 于 2009 年 收购 安捷伦 科技 有 限 公司 的 N2X 

( IXIA ) 产品 线 后 将 其 更 名 为 |xN2X。 支 持 MPLS VPN 等 运营 
商 级 以 太 网 ( carrier ethernet ) 业 务 测试 ， 并 能 够 构建 
面向 运营 商业 务 的 测试 环境 

FireStorm CTM 能 够 模拟 L2 至 L7 上 150 种 以 上 的 应 用 程序 。 能 够 支 

( BreakingPoint ) 寺 安 全 防范 场景 的 网 络 攻 击 模 拟 。 一 般 用 于 1PS 以 及 
UTM 设备 的 测试 中 























国 规格 说 明 书 中 的 吞吐 率 与 实际 的 吞吐 率 

假设 某 位 IT 负责 人 遇 到 了 这 样 的 需求 :“ 由 于 网 关 处 设置 的 路 由 器 停止 了 工作 ， 因 此 需 要 使 
用 当前 新 产品 来 奉 换 ， 当 前 公司 的 网 络 通信 流量 约 为 500Mbit/s， 因 此 希望 采购 一 台 否 吐 率 同样 
为 500Mbit/s 的 路 由 器 。” 

















中 该 公司 于 2012 年 8 月 被 IXIA 公司 收购 。 译 者 注 
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这 时 ， 这 位 IT 负责 人 该 如 何 去 选 择 否 叶 率 为 500Mbit/s 的 路 由 需 呢 ? 

从 互联 网 上 获取 的 通信 设备 目录 或 性 能 数据 清单 中 ， 都 会 通过 “最 大 吞吐 率 ( Mbit/s )” 的 指 
标 来 表示 产品 的 最 大 通信 速率 ， 那 是 否 选择 了 该 值 为 500Mbit/s 的 产品 就 足够 了 呢 ? 

所 谓 的 最 大 吞吐 率 ， 一 般 是 指 连 续 处 理 长 度 为 最 大 长 度 1518 字 节 的 以 太 网 数据 帧 时 的 吞吐 
率 。 在 1518 字 节 中 去 掉 18 个 字 节 的 帧 首部 ， 剩 下 的 1500 字 节 为 IP 分 组 。 随 后， 再 次 去 掉 20 
个 字 节 的 卫 首部 ， 剩 下 的 1480 字 节 为 IP 数据 有 效 载荷 ， 最 终 处 理 的 便 是 这 1480 字 节 。 

路 由 器 处 理 一 般 不 以 字 节 为 单位 ， 而 是 以 分 组 (数据 帧 ) 为 单位 进行 转发 处 理 。 因 此 ， 路 由 
器 1 秒 内 能 够 处 理 多 少 个 分 组 的 指标 pps 的 最 大 值 加 上 1518 个 字 节 数 所 得 到 的 数值 就 表示 了 路 
由 器 的 最 大 大 叶 率 。 

对 于 搭载 安全 功能 等 进行 传输 层 以 上 数据 解析 的 通信 设备 而 言 ， 其 产品 的 性 能 会 根据 IP 数 
据 有 效 载 荷 内 容 的 不 同 而 发 生变 化 。 这 时 ， 同 使 用 TCP 相 比 ， 使 用 UDP 这 类 首部 简单 的 分 组 进 
行 测试 能 够 得 到 更 好 的 吞吐 率 数 值 。 















































07.04.03 ”交换 机 性 能 的 考量 方法 























由 于 工 2 交换 机 以 及 L3 交换 机 的 数据 帧 传输 一 般 通 过 ASIC 来 完成 ， 因 此 产品 目录 中 记载 的 
交换 容量 与 交换 能 力 可 以 认为 是 该 设备 实际 的 性 能 指标 。 

需要 注意 的 是 ， 由 于 现在 的 交换 机 一 般 都 支持 全 双 工 通信 ， 因 此 在 使 用 CSMA/CD 半 双 工 通 
信 时 ,会 发 生 冲突 导致 性 能 同 全 双 工 相 比 会 有 一 定 的 下 降 。 





国 交换 容量 

交换 容量 也 称 为 背 板 ( backplane ) 容量 ， 是 交换 机 内 部 数据 传输 的 带宽 容量 。 详 细 内 容 可 参 
考 本 书 第 二 章 。 

当 高 于 交换 容量 的 通信 流量 到 达 交 换 机 时 ， 交 换 机 就 会 由 于 缓存 不 足 或 内 部 带宽 (交换 总 线 
带宽 ) 不 够 而 无 法 处 理 ， 进 而 导致 数据 帧 丢失 、 网 络 接口 停止 以 及 废弃 帧 数 上 升 等 现象 。 
































换 能 力 

除了 用 bits 表示 的 交换 机 容量 以 外 ， 单 位 时 间 内 能 够 处 理 的 数据 帧 数目 一 一 pps (分 组 每 秒 ) 
也 能 用 来 表示 交换 机 的 交换 能 力 。 该 项 指标 也 可 称 为 最 大 分 组 转发 能 力 ， 由 于 在 L2 转发 的 数据 
单位 为 数据 帧 ， 因 此 又 称 为 数据 帧 转发 能 力 。 

交换 机 通过 查看 以 太 网 数据 帧 首部 的 信息 ， 事 先 确认 转发 目的 地 的 MAC 地 址 ， 并 校 验 数 据 
帧 尾部 是 否 有 异常 ， 最 后 查阅 访问 控制 列表 是 否 预 配 信息 ， 如 果 有 预 配 信息 则 根据 该 信息 对 数据 
帧 进行 过 滤 处 理 。 可 见 ， 随 着 数据 帧 数目 的 增加 ， 交 换 机 需要 处 理 的 数据 量 也 会 随 之 增 大 ， 路 
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由 顺 也 同样 如 此 。 

所 以 ， 如 果 处 理 通 信 流 量 的 bit/s 相同 ， 数 据 帧 尺寸 越 小 处 理 的 工作 量 就 越 大 ， 系 统 负载 也 
会 随 之 变 大 。 

以 太 网 数据 帧 最 小 的 数据 帧 尺寸 是 64 字 节 ， 算 上 先导 域 和 SFD (Start Frame Delimiter， 帧 
首 定 界 符 ) 的 8 字 节 ， 数 据 帧 之 间 的 IFG (Iter-Frame Gap， 数 据 帧 间隔 ) 所 需 的 12 字 节 ， 总 共 
84 字 节 ， 也 就 是 说 交换 机 在 转发 1 个 数据 帧 时 需要 处 理 672 bit 的 数据 。 

对 于 10Mbit/s 的 以 太 网 而 言 ， 则 是 10000000bit/s * 672bit=14880pps。 如 果 交 换 机 拥有 
14880pps 以 上 的 交换 能 力 ， 就 意味 着 该 交换 机 可 以 实现 线 速率 ( 理论 上 的 最 大 线路 速度 ， 也 称 为 
线 速 ) 处 理 。 

快速 以 太 网 的 线 速 一 般 为 148800pps, 干 兆 以 太 网 的 线 速 为 1488000pps (1.488Mbit/s )， 万 兆 
以 太 网 线 的 速 为 1488000pps ( 14.88Mbit/s )。 

交换 机 是 由 多 个 物理 网 络 接口 组 成 的 。 假 如 一 台 交 换 机 有 24 个 10/100/1000BASE-T 的 端口 ， 
那么 能 够 拥有 24 x 1.488Mbit/s=35.712Mpps 的 非 阻塞 交换 能 力 。 如 果 使 用 交换 容量 小 于 该 值 的 交 
换 机 ， 就 会 发 生 阻塞 现象 ， 导 致 所 有 的 端口 无 法 达到 理论 的 最 大 线 速 。 

实际 在 交换 机 上 进行 传输 的 通信 多 为 TCP 或 UDP 的 应 用 程序 数据 。 在 UDP 中 ， 对 实时 性 
要 求 较 高 的 分 组 一 般 平均 长 度 需 在 100~300 字 节 之 间 才 能 进行 通信 。 而 在 TCP 中 ， 由 于 需要 进 
行 窗口 尺寸 等 带宽 控制 ， 因 此 实际 的 通信 速率 往往 达 不 到 理论 线 速水 平 。 





















































国 MAC 表 数 量 与 L3 表 尺 十 

L2 交换 机 使 用 MAC 表 管理 MAC 地 址 ，L3 交换 机 除了 使 用 MAC 表 来 管理 MAC 地 址 以 外 
还 会 使 用 L3 表 来 管理 耻 地 址 。 

如 果 表 项 超出 了 管理 表 最 多 能 容纳 的 数量 ， 那 么 设备 将 无 法 进行 正常 的 传输 处 理 从 而 造成 分 
组 丢弃 的 结果 。 

在 使 用 通信 流量 生成 测试 仪器 对 设备 性 能 进行 测试 时 ， 必 须 将 所 施加 分 组 所 使 用 的 地 址 限 
定 在 设备 的 MAC 地 址 表 所 支持 的 范围 内 进行 。 






































国 蔡 换 或 新 增 网 络 硬件 时 的 选择 

虽然 大 多 数 机 构 的 内 部 网 络 中 都 会 有 存量 交换 机 ， 但 是 在 进行 更 新 蔡 换 时 ， 仍 需要 确认 存量 
交换 机 性 能 方面 的 统计 信息 以 及 现 有 用 户 的 数量 ， 还 要 确认 MAC 地 址 表 表 项 数量 ， 从 而 选择 最 
大 交换 容量 、 交 换 能 力 和 MAC 地 址 数量 都 满足 需求 的 交换 机 。 

除了 性 能 以 外 ， 还 需要 了 解 硬 件 最 大 支持 的 VLAN 数目 、 是 否 具 备 SNMP 等 管理 功能 ， 将 
这 些 作为 辅助 材料 ， 推 进 网 络 逻辑 设计 阶段 的 工作 顺利 进行 。 
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国 广播 风暴 

广播 风暴 ( broadcast storm ) 是 指 多 个 交换 机 连接 成 回环 时 ，MAC 数据 帧 不 停 来 回 传递 的 现 
象 (图 7-5 )。 这 种 现象 会 造成 网 络 带宽 、 交 换 机 资源 的 过 度 消耗 ， 最 终 导致 整个 网 络 的 瘫痪 。 

使 用 生成 树 功能 (参考 02.08.03 节 “ 生 成 树 功能 ”) 可 以 避免 该 问题 。 生 成 树 通过 NDP 端口 
的 开 闭 来 解决 网 络 的 回环 问题 。 

男 外 ， 在 遇 到 DoS 攻击 、 操 作 系统 出 现 bug 或 者 NIC 出 现 故障 导致 生成 树 无 法 正常 工作 时 ， 
同样 也 会 产生 广播 风暴 。 

这 时 ， 可 以 使 用 交换 机 中 的 广播 风暴 控制 ( storm-control ) 功能 来 避免 该 现象 。 

广播 风暴 控制 功能 的 原理 是 在 端口 监视 流向 内 部 总 线 的 数据 帧 ， 如 果 数 据 帧 的 数量 超过 了 预 
先 设置 的 上 限 阔 值 ， 就 将 超出 该 阔 值 的 部 分 丢弃 。 数 据 帧 阔 值 通过 pps 值 来 指定 ， 能 够 分 别 对 单 
播 、 多 播 、 广 播 进 行 定 义 与 配置 。 

如 果 没 有 回环 状态 ,广播 数据 帧 只 会 转发 到 广播 域内 的 所 有 终端 。 相 反 ， 如 果 网 络 存在 回 
环 ， 广播 数据 帧 将 会 永远 在 回环 内 循环 转发 ， 导 致 数据 帧 数量 越 来 越 多 ， 最 终 整个 LAN 的 带宽 
被 广播 数据 帧 消耗 殉 尽 。 


发 生 广播 风暴 的 LAN 结构 


























广播 数据 帧 





记 -” 男 


























转发 至 所 有 端 转发 至 所 有 端 




















国 半 双 工 与 冲突 

如 本 书 第 二 章 所 述 ， 在 半 双 工 通信 中 , 在 1 根 线 绕 (传输 媒介 ) 上 运行 CSMA/CD 并 进行 载 
波 侦 听 时 ， 有 可 能 会 发 生 冲 突 。 随 着 冲突 域 中 终端 数目 的 增多 ， 冲 突 发 生 的 概率 也 就 越 大 ， 旦 呈 
指数 上 升 的 趋势 。 另 外 ， 在 进行 载波 侦 听 时 传输 媒介 处 于 使 用 状态 ， 因 此 还 会 产生 随机 等 待 时 
间 。 由 于 等 待 、 神 突 而 导致 的 数据 再 次 发 送 ， 会 降低 整个 系统 的 通信 效率 。 即 使 传输 媒介 没有 处 
于 使 用 状态 ， 也 需要 费时 进行 载波 侦 听 的 处 理 ， 从 而 导致 延迟 产生 。 

因此 ， 使 用 全 双 工 通信 方式 来 取代 半 双 工 通信 方式 比较 好 。 
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全 双 工 通信 中 不 再 使 用 CSMA/MCD， 不 进行 载波 侦 听 操作 也 不 发 生 冲突 ， 而 且 发 送 和 接收 能 
够 充分 利用 传输 媒介 的 最 大 传输 速率 。 比 如 在 快速 以 大 网 中 ， 大 发 送 与 接收 的 速度 各 为 100Mbit/s， 
则 共计 能 够 使 用 200Mbit/s 的 线路 带宽 。 而 在 半 双 工 通信 中 ， 发 送 和 接收 的 占用 带宽 总 和 只 有 
100Mbit/s。 





图 自 适 应 

如 果 设 置 了 交换 机 的 自 适应 功能 ， 那 么 交换 机 的 网 络 接口 会 根据 使 用 的 以 太 网 速度 以 及 双 工 
通信 方式 ， 自 动 选择 同 对 方 交换 机 交互 的 最 佳 通信 模式 组 合 。 如 果 由 于 交换 机 或 交换 机 以 外 的 网 
络 设备 实现 不 同 或 存在 bug 而 导致 自 适应 功能 无 法 工作 ， 则 交换 机 端口 会 默认 自动 进入 半 双 工 通 
信和 模式 。 这 时 ， 就 需要 事先 关闭 自 适应 功能 ， 通 过 手动 置 指定 交换 机 端口 在 全 双 工 模式 下 工作 来 
避免 这 类 问题 。 
































07.04.04 ”路 由 器 性 能 的 考量 方法 


路 由 器 性 能 一 般 用 单位 时 间 内 的 转发 能 力 来 表示 ， 也 可 使 用 否 吐 率 ( throughput ) 来 描述 。 

虽然 通信 速率 的 单位 bit/s( 比特 每 秒 ) 常 被 用 来 描述 吞吐 率 ， 但 在 路 由 器 进行 以 分 组 为 单位 
的 处 理 时 ， 往 往 也 会 使 用 pps (分 组 每 秒 ) 来 描述 吞吐 率 这 一 性 能 情况 。 

pps 性 能 相同 的 路 由 器 ， 转 发 的 分 组 越 大 ， 该 路 由 器 产品 的 bit/s 值 就 起 高。 例如， 处 理 能 力 
为 100pps 的 路 由 需 在 以 太 网 上 处 理 IP 分 组 ， 虽 然 处 理 64 字 节 (512bit) 分 组 时 ， 其 速率 只 能 为 
51.2kbit/s， 但 在 处 理 1500 字 节 (12000bit ) 的 分 组 时 ， 其 速率 则 达到 1.2Mbit/s。 











07.04.05 防火墙 性 能 的 考量 方法 


国 同时 在 线 会 话 数 

防火 墙 使 用 会 话 表 管理 通信 会 话 ， 并 以 会 话 为 单位 进行 通信 流量 的 控制 。 会 话 表 能 够 记录 的 
表 项 数目 表明 了 该 防火 墙 所 能 处 理 的 同时 在 线 会 话 〈 也 称 为 同时 连接 会 话 ) 数量 。 

小 规模 的 桌面 型 防火 墙 设备 一 般 能 够 文 持 几 万 个 会 话 ， 通 信服 务 供应 商 使 用 的 防火 墙 设 备 
则 能 够 同时 管理 数 百 万 个 会 话 。 



































国 会 话 生存 时 间 调 整 

通过 安全 策略 的 UDP 分 组 或 TCP 的 SYN 分 组 到 达 防 火 墙 时 ， 防 火 墙 会 生成 对 应 的 会 话 信 
息 。 如 果 在 此 后 的 一 定时 间 内 ， 该 会 话 没有 通信 量 的 产生 ， 则 需 将 会 话 删除 ， 该 时 间 段 则 成 为 会 
话 生存 时 间 。 
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会 话 信息 被 删除 后 ， 当 该 会 话 相 关 的 分 组 继续 到 达 防 火 墙 时 ， 防 火 墙 需要 重新 生成 会 话 信 
息 。 如 果 是 UDP 类 型 ， 只 需 再 次 生成 会 话 信 息 即 可 ， 但 如 果 是 TCP 类 型 ， 除 了 再 次 到 来 的 SYN 
分 组 以 外 ， 其 余 的 分 组 都 将 被 丢弃 ( 可 以 通过 更 改 配置 改变 丢弃 分 组 的 行为 )，。 如 果 SYN 以 外 的 
分 组 遭 到 了 防火 墙 拒绝 ， 就 需要 客户 端的 应 用 程序 进入 重 发 流程 ， 同 服务 器 之 间 使 用 3 次 握手 重 
新 建立 TCP 连接 。 

会 话 生 存 时 间 能 够 根据 TCP、UDP 以 及 其 他 IP 协议 的 不 同 进行 针对 性 的 设置 。 在 新 一 代 防 
火 墙 系 列 产 品 中 ， 还 能 够 以 应 用 程序 为 单位 进行 设置 。 一 般 将 TCP 的 会 话 生 存 时 间 设 置 为 1 小 
时 左右 ，UDP 以 及 其 他 卫 协议 的 会 话 生 存 时 间 设 置 为 30 秒 左右 。 

mee ed tt th ee sl 连接 将 
始终 保持 开放 ， 而 UDP 中 会 话 不 会 结束 ,会 话 信息 也 会 一 直 保 留 。 一 来 就 会 使 得 那些 碰巧 
和 残留 会 话 信 息 相 一 致 的 分 组 能 够 顺利 通过 防火 塔 ， Wi 

另外 ， 由 于 会 话 信息 表 中 会 话 表 项 记录 的 数量 有 限 ， 如 果 很 长 一 一 眉 时 间 不 予以 清除 ， 将 会 使 
表 项 数量 很 快 到 达 会 话 表 能 够 容纳 的 上 限 值 。 

当 会 话 表 项 数量 达到 能 够 记录 的 上 限 值 后 ， 将 无 法 生成 新 建 会 话 ， 从 而 造成 无 法 建立 新 会 话 
进行 通信 的 后 果 。 







































































国 老化 时 间 调 整 

在 TCP 会 话 中 如 果 TIME_WAIT 状态 的 时 间 持 续 很 长 ， 就 会 导致 即使 通信 结束 也 会 有 会 话 
信息 残留 并 占用 会 话 信息 表 的 空间 。 

有 些 防 火 墙 产品 会 提供 当 会 话 信息 表 使 用 率 即 将 超过 阔 值 时 ， 提 前 删除 TIME_WAIT 状态 会 
话 的 功能 。 














四 每 秒 会话 值 

路 由 需 的 性 能 一 般 使 用 每 秒 能 够 传输 的 bit 数 bit/s 和 每 秒 能 够 转发 的 分 组 数 pps 这 两 个 单位 
来 描述 。 

而 对 于 防火 墙 而 言 ， 还 必须 增加 每 秒 能 够 建立 的 会 话 数 (new session per second ) 这 一 参数 
ee 该 指标 表示 在 1 秒 内 能 够 完成 多 少 
ee 完整 的 会 话 建立 过 程 包括 : 监控 TCP 连接 的 3 次 握手 ， 握 手 正 常 则 生成 
会 话 信 息 ， 将 会 话 信 ， ee 

ee 能 被 及 时 删除 ， 从 而 造成 网 络 中 的 新 
会 话 信息 无 法 建立 的 情况 。 站 在 用 户 角 度 来 看 ， 就 会 觉得 该 网 络 的 响应 速度 非常 低 。 
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国 对 象 尺 寸 的 不 同 导致 性 能 的 差异 ( L7 硬件 ) 

对 象 尺 寸 中 的 “对 象 ”一 般 是 指 文件 。 目 前 活路 的 Web 站 点 中 1 个 页 面 往往 会 由 几 十 个 文 
件 对 象 组 成 。 例 如 ,使 用 HTTP 访问 门户 网 站 时 ,会 在 客户 端 浏览 絮 中 看 到 HTML 文件 、JPEG 
或 GIF 等 图 像 文 件 以 及 Flash、JavaScript、ActiveX 等 各 种 不 同类 型 的 文件 。 男 外 ， 在 使 用 Web 
电子 邮件 、FTP 等 工具 在 进行 交互 时 ， 也 会 用 到 ZIP 文件 甚至 EXE 文件。 网络 上 进行 交互 的 文 
件 大 小 一 般 称 为 对 象 的 尺寸 。 

虽然 防 病毒 检查 和 文件 检查 等 操作 称 为 基于 内 容 的 扫描 ， 但 实际 上 在 防火 墙 、 代 理 服 务 顺 、 
安全 相关 的 设备 中 往往 是 以 文件 为 单位 进行 该 处 理 。1 秒 内 能 够 扫描 多 少 个 文件 的 单位 称 为 处 理 
对 象 每 秒 ( object per second ) 或 处 理事 务 每 秒 ( transaction per second )。 

也 就 是 说 ， 对 象 尺 寸 越 小 ， 网 络 硬件 在 单位 时 间 内 能 够 处 理 的、 基于 内 容 扫描 的 数据 量 就 越 
大 。 和 分 组 尺寸 越 小 、 分 组 每 秒 (pps ) 的 值 就 越 大 而 最 大 吞吐 率 (bit/s ) 就 越 小 一 样 ， 当 对 象 尺 
寸 最 小 时 ， 能 够 得 到 的 pps 值 就 最 大 。 

在 测量 各 个 不 同 对 象 太 二 的 吞吐 率 时 ， 和 党 使 用 4KB( 干 字 节 入 16KB、64KB 、128KB、 
512KB、1024KB ( 1MB ) 大 小 的 对 象 来 进行 测量 。 

表 7-9 列 出 了 不 同 对 象 尺 寸 所 对 应 的 处 理 对 象 每 秒 的 数值 范例 。 网 络 人 硬件 在 进行 基于 内 容 扫 
描 时 ， 如 有 果 平 均 对 象 尺寸 为 MB， 那 么 设备 的 否 吐 率 为 740Mbit/s， 如 果 对 象 尺 寸 为 4B， 则 否 
吐 率 为 129Mbit/s。 

在 互联 网 上 进行 交互 的 对 象 平均 尺寸 在 64KB 左右 ， 移 动 电话 所 使 用 的 对 象 内 容 尺 寸 会 
更 小 。 

需要 注意 的 是 ， 当 需要 安全 设备 在 进行 基于 内 容 的 扫描 时 ， 所 要 考虑 的 不 仅仅 是 设备 的 吞吐 
率 ， 还 需 考 虑 处 理 对 象 每 秒 的 数值 。 



























































对 象 尺 寸 与 处 理 对 象 每 秒 的 对 应 关系 

















对 象 尺寸 处 理 对 象 每 秒 吞吐 率 协议 开销 所 占 比 例 
4KB 3,352 129.01 23.16 
16KB 2,121 298.16 12.46 
64KB 1,026 560.30 9.22 
1024KB ( 1MB ) 86 742.90 7.98 

















注 1: (对 象 尺寸 [B]x 8[bit] x 处 理 对 象 每 秒 ) = 文件 实体 部 分 的 吞吐 率 
文件 实体 部 分 吞吐 率 x ( 100+ 协 议 开销 所 占 比例 [% ] ) = 吞吐 率 
1MB=1024KB=1048576B 








文件 实体 部 分 的 吞吐 率 还 包括 协议 开销 (以 HTTP 分 组 为 例 ， 包 括 以 太 网 首部 、IP 首部 、 
TCP 首部 、HTTP 首部 、 以 太 网 尾部 的 总 和 )、 控 制 分 组 (TCP3 次 握手 、ACK 分 组 等 ) 等 ， 这些 
都 会 成 为 设备 整体 否 吐 率 的 组 成 部 分 。 在 文件 实体 部 分 的 否 吐 率 中 ， 对 象 尺寸 越 小 协议 开销 以 及 
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控制 分 组 所 占 的 比例 就 越 大 。 

当 人 处 理 对 象 每 秒 的 数值 超过 网 络 硬 件 上 限 值 时 ， 就 会 导致 设备 的 处 理 延迟 加 大 。 如 果 继 续 保 
持 该 状态 ,设备 就 会 发 生 分 组 丢弃 现象 ， 从 而 导致 客户 端 无 法 传输 请 求 文件 的 后 果 。 这 种 情况 在 
HTTP 中 就 会 显示 Web 浏览 器 错误 ， 在 FTP 中 则 会 告知 文件 传输 失败 。 











国 VPN 和 加 密 的 性 能 

防火 墙 或 安全 设备 中 都 会 支持 站 到 站 的 IPsec-VPN 、 远 程 接 和 的 IPsec-VPN 或 SSL-VPN 集 
中 器 的 功能 。 男 外 ， 有 些 产 品 还 支持 用 户 通 信和 的 SSL ( HTTPS ) 解密 功能 。 

这 类 执行 加 密 或 解密 的 操作 ， 与 使 用 不 加 密 的 明文 通信 或 执行 基于 内 容 的 扫描 相 比 ， 系 统 的 
负载 也 会 相应 增加 ， 从 而 导致 性 能 的 下 降 ( 表 7-10 )。 



































虽然 使 用 ASIC 这 类 硬件 芯片 来 完成 加 密 处 理 则 不 会 带 来 性 能 下 降 的 问题 ， 但 是 几乎 所 有 的 
设备 都 采用 了 基于 CPU 的 软件 处 理 方式 ， 因 此 当 通 信 流 量 增 大 时 ， 人 性 能 还 是 会 有 大 幅 的 下 降 。 
简 而 言 之 ， 加 密 处 理 仅仅 是 在 隧道 建立 时 进行 ,还 是 全 程 (包括 隧道 建立 后 的 用 户 会 话 交互 
过 程 ) 都 进行 ,对 于 设备 的 性 能 而 言 有 着 截然 不 同 的 影响 。 
ED VPN 吞吐 率 的 范例 ( 信息 来 自 产品 目录 ) 
Juniper Networks SSG140 Palo Alto Networks PA-5020 
防火 墙 吞 吐 率 350Mbit/s 5Gbit/s 






































VPN 否 吐 率 100Mbit/s 2Gbit/s 














国 对 象 的 容量 

这 里 所 提 到 的 对 象 并 不 是 处 理 对 象 每 秒 中 的 对 象 ， 而 是 构成 安全 策略 的 要 素 对 象 。 例 如 ， 用 
来 指定 地 址 信息 的 地 址 对 象 、 指 定 端口 信息 的 端口 对 象 等 。 根 据 设备 种 类 的 不 同 ， 这 些 对 象 可 配 
置 数量 的 上 限 也 有 所 不 同 。 另 外 ， 安 全 策略 本 身 的 配置 数量 上 限 也 会 由 于 设备 的 种 类 不 同 而 不 
同 。 一 般 设 备 所 支持 设置 的 上 限 会 在 规格 说 明 书 中 标注 。 如 果 该 信息 未 曾 在 规格 说 明 书 中 提 及 ， 
则 表明 该 上 限 值 将 依赖 于 系统 剩余 内 存 的 大 小 。 

大 型 公司 在 因特网 网 关 处 设置 的 防火 墙 往往 会 有 数 千 条 安全 策略 ， 如 果 对 这 样 规模 的 安全 策 
略 一 一 进行 判断 处 理 ， 设 备 的 负载 会 相当 大 ， 有 时 就 会 造成 性 能 下 降 的 现象 。 尤 其 是 防火 墙 会 根 
据 设 置 的 安全 策略 列表 从 上 而 下 顺序 处 理 ， 如 果 到 达 的 分 组 多 数 命中 位 于 策略 列表 下 位 的 策略 ， 
就 会 导致 性 能 的 下 降 。 
































07.04.06 无 线 LAN 性 能 的 考量 方法 


无 线 LAN 理论 上 所 能 达到 的 最 大 吞吐 率 请 参考 本 书 06.05.02 节 。 
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在 实际 环境 中 ,考虑 到 CSMA/CA 的 执行 以 及 无 线 电 波 的 干涉 现象 、 距 离 的 远近 导致 无 线 电 
波 强 弱 的 不 同等 原因 ， 往 往 很 难 达 到 无 线 LAN 理论 所 文 持 的 最 大 吞吐 率 。 


国 CSMA/CA 

IEEE 802.11 中 的 无 线 LAN 使 用 了 CSMA/CA ( Carrier Sense Multiple Access/Collision Avoidance ) 
通信 方式 。 

CSMA 中 CS 用 来 执行 载波 侦 听 ， 当 遇 到 其 他 终端 正在 发 送 数据 帧 时 ， 该 站 点 停止 发 送 并 等 
待 ， 直 至 其 他 终端 发 送 完毕 。MA 是 指 多 址 接 入 ， 即 1 个 传输 媒介 由 多 个 通信 终端 共享 。 

CA 表示 冲突 避免 ( Collision Avoidance ) 的 意思 ， 执 行 补 偿 控制 。 通 过 无 线 LAN 发 送 数据 帧 
的 移动 站 点 等 待 一 个 随机 长 度 的 补偿 时 间 ， 当 确认 传输 媒介 空闲 时 再 继续 发 送 数据 帧 。 通 过 该 机 
制 可 以 错开 多 个 节点 同时 进行 数据 帧 发 送 的 时 机 ， 有 效 地 降低 了 冲突 发 生 的 可 能 性 。 

使 用 CSMA/CD 的 半 双 工 有 线 LAN 相 比 则 无 需 等 待 补偿 时 间 ， 在 空闲 状态 能 够 通过 连 
续 发 送 数据 帧 间隔 (IFG ) 完成 整个 通信 过 程 ( 图 7-6)。 当 多 个 节点 同时 发 送 数据 造成 冲突 
( Collision ) 时 ， 则 执行 相应 的 补偿 算法 。 

由 于 有 线 LAN 能 够 通过 电气 噪音 及 时 检测 冲突 的 发 生 ， 而 无 线 LAN 无 法 迅速 有 效 地 检测 
冲突 ， 因 此 只 能 采用 CSMA/CA 的 机 制 来 避免 冲突 的 发 生 。 
CSMA/CD 与 CSMA/CA 发 送 数据 帧 时 的 不 同 

CSMA/CD ( 以 太 网 ) 


ED 一 


a . 
































数据 帧 间隔 、 





时 间 

















始 
发 送 结束 发 送 开始 
若 空闲 状态 出 现 帧 间隔 ( IFG，Inter Frame Gap ) ， 则 立刻 发 送 下 一 个 数据 帧 


CSMA/CA ( 无 线 LAN ) 场景 





LA 时 间 


发 送 开始 ”发 送 结束 发 送 开始 发 送 结束 
空闲 状态 出 现 帧 间隔 后 ， 等 待 随 机 长 度 的 补偿 时 间 过 去 ， 再 发 送 下 一 个 数据 帧 
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国 ACK 数据 帧 

接收 数据 帧 之 后 的 移动 站 点 需要 返回 ACK 数据 帧 ， 当 发 送 方 接收 到 ACK 数据 帧 后 表示 整 
个 数据 通信 过 程 结 束 。 但 无 线 信号 状况 较为 糟糕 时 ， 如 果 接 收 方 没有 收 到 数据 帧 ， 就 不 会 发 送 
ACK 数据 帧 ， 这 时 发 送 方 会 重 发 数据 帧 。 另 一 方面 ， 当 接收 方 顺 利 收 到 数据 并 返回 了 ACK 数 
据 帧 ， 但 是 发 送 方 却 因为 某 种 原因 没有 收 到 ACK 数据 帧 时 ， 接 收 方 也 会 再 次 发 送 ACK 数据 帧 。 
移动 站 点 和 接 入 点 之 间 的 距离 以 及 无 线 信号 的 状况 会 影响 数据 重 发 的 概率 。 

一 般 在 实际 环境 中 ， 重 发 数据 的 概率 大 约 在 20% 左右 。 















































国 现场 调查 

通过 使 用 频谱 分 析 仪 进行 的 现场 调查 ( 事先 现场 勘查 ) 工作 ， 能 够 确认 无 线 网 络 布 网 区 域 的 
无 线 信 号 干涉 情况 ， 反 射 波 段 、 外 部 无 线 电 波 带 来 的 影响 以 及 噪音 带 来 的 影响 ， 从 而 能 够 部 署 和 
配置 最 佳 接 入 点 。 

一 般 现场 调查 可 以 按照 下 面 的 步骤 来 完成 。 


























中 准备 办 公 场 所 的 平面 图 。 

@) 测试 从 相 邻 接 入 点 发 出 的 无 线 电 波 ， 了 解 当 前 位 置 无 线 电波 的 情况 。 

@) 通过 模拟 来 确定 需要 部 署 的 接 人 点 数量 、 无 线 电 波 强 度 和 使 用 的 频带 ， 并 标记 到 办 公 场 
所 的 平面 图 上 。 

根据 模拟 结果 ， 对 配置 的 接 入 点 进行 临时 配置 并 进行 验证 。 

@) 完成 配置 后 ， 对 接 入 点 是 否 能 够 覆盖 所 有 区 域 进行 最 终 确 认 。 
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07.05.01 ”交换 机 的 选择 


看 接 入 交换 机 的 选择 
同 客户 端 终端 相连 的 交换 机 可 以 选择 下 行 端口 速度 为 10/1000BASE-TX 或 10/100/1000BASE-T 
的 任意 一 款 。 
目前 ， 大 多 数 企业 的 接 和 人 交换 机 都 配备 了 10/100/1000BASE-T 类 型 的 下 行 端口 。 如 果 选 择 了 
本 书 第 2 章 提 到 的 非 阻 塞 式 交换 机 ， 那 么 从 客户 端 连 接 至 服务 器 时 ， 交 换 机 不 会 成 为 整个 网 络 的 
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瓶颈 “。 而 如 果 选 择 价 格 便宜 的 阻塞 式 交 换 机 ， 就 需要 用 户 充分 考虑 网 络 瓶 颈 的 情况 。 


接 入 交换 机 的 下 行 链 路 
客户 端 




















器 < 
> 
[ss 
a 三 
J CIITITIL aS 


端 到 端的 
TCP 连 接 













目前 个 人 计算 机 一 般 都 已 配备 10/100/1000BASE-T 的 网 络 接口 ， 但 如 果 接 入 交换 机 使 用 的 是 
10/1000BASE-TX， 那 么 自 适应 功能 就 会 使 个 人 计算 机 与 交换 机 之 间 的 链 路 速度 变 为 100Mbit/s。 
如 果 除 下 行 链 路 之 外 ， 其 他 通信 路 径 的 链 路 速度 都 达到 了 1Gbit/s， 那 么 下 行 链 路 就 可 能 成 为 整 
个 网 络 的 瓶颈 。 

当 接 入 交换 机 连接 的 客户 端 需要 访问 互联 网 时 ， 如 果 出 现下 面 这 些 情况 ， 接 入 交换 机 才 基 本 
不 会 成 为 网 络 的 瓶颈 。 





e 交换 机 上 行 链 路 连接 的 路 由 需 或 防火 墙 更 容易 成 为 网 络 瓶颈 。 

e 虽然 下 行 链 路 达到 了 100Mbit/s 或 1Gbit/s 的 连接 速度 ， 但 端 到 端 (客户 端 至 服务 器 ) 之 间 
的 TCP 连接 执行 了 流量 控制 ， 将 普通 TCP 上 应 用 程序 中 每 个 连接 的 最 大 甜 吐 量 限 制 在 了 
几 Mbit/s 的 程度 。 








大 多 数 接 入 交换 机 都 采用 2 个 或 4 个 千 兆 上 行 端 口 的 配置 。 交 换 机 使 用 2 个 千 光 上行 端 口 
时 ， 同 时 连接 网 络 上 层 的 2 台 汇 聚 交换 机 或 核心 交换 机 组 成 了 宛 余 组 网 结构 。 交 换 机 使 用 4 个 
千 兆 上 行 端口 时 ， 则 构成 2 组 以 太 网 通道 ,以 2 倍 的 吞吐 率 和 上 层 交 换 机 组 成 了 宛 余 组 网 结构 
(图 7-8)。 











中 瓶颈 是 指 网 络 线路 的 某 个 特定 部 分 如 产子 的 颈 部 般 狭 窄 ， 从 而 限制 了 整个 网 络 的 通信 流量 。 
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元 余 组 网 结构 













































































(10Gx1+1Gx4) x 双向 = 
需要 28Gbit/s 的 带宽 








下 行 端口 数目 则 根据 客户 端 或 打印 机 等 通过 有 线 LAN 连接 的 终端 数量 来 具体 决定 。 





国 汇聚 交换 机 以 及 核心 交换 机 的 选择 

在 大 规模 校园 网 络 中 ， 需 要 引入 接 和 人 交换机、 汇聚 交换 机 、 核 心 交换 机 这 样 的 分 层 化 组 网 结 
构 。 这 是 ,汇聚 交 换 机 以 及 核心 交换 机 均 需 要 使 用 非 阻 塞 结 构 的 设计 。 

汇聚 交换 机 的 下 行 链 路 一 般 使 用 千 兆 网 络 接口 和 接 和 人 交换 机 的 上 行 链 路 进行 连接 。 

在 3 层 组 网 结构 中 ,汇聚 交换 机 的 上 行 链 路 需要 同 核心 交换 机 的 下 行 链 路 进行 连接 ， 而 在 2 
层 组 网 结构 中 ， 接 人 交换 机 的 上 行 链 路 需要 同 核心 交换 机 的 下 行 链 路 进行 连接 。 虽 然 在 这 类 链 路 
中 10Gbit/s 网 络 接口 的 使 用 正在 逐渐 增加 ， 不 过 估计 以 后 使 用 40Gbit/s 以 及 100Gbit/s 网 络 接口 
的 情况 也 会 越 来 越 多 。 

如 果 从 校园 网 络 接 入 互联 网 ， 那 么 路 由 器 以 及 防火 墙 往 往 会 成 为 整个 网 络 的 浇 贷 。 但 如 果 校 
园 网 络 中 LAN 通信 上 比较 多 ， 而 汇聚 交换 机 或 核心 交换 机 又 是 阻塞 结构 的 话 ， 交 换 机 则 可 能 成 为 
最 大 的 网 络 瓶 颈 (图 7-9 )。 如 果 预 算 足 够 ， 最 好 所 有 的 交换 机 都 采用 非 阻塞 的 设计 ， 但 是 如 果 这 
点 无 法 做 到 ， 就 应 该 推测 整个 网 络 的 通信 流量 ， 从 而 选择 吞吐 量 满足 最 低 需求 的 交换 机 。 即 使 交 
换 机 成 了 网 络 的 瓶颈 ， 由 于 在 校园 网 内 部 延迟 很 小 (根据 物理 距离 的 不 同 ， 延 迟 在 1 毫秒 至 数 毫 
秒 之 间 )， 端 到 端的 网 络 速度 还 是 非常 快 的 。 另 外 ， 如 果 承 载 于 TCP 的 应 用 程序 实施 了 窗口 控制 
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或 重 发 控制 等 流量 控制 措施 ， 那 么 用 户 的 通信 和 则 不 会 因为 交换 机 成 为 了 网 络 瓶 颈 而 停止 。 
经 由 接 入 交换 机 、 汇 聚 交换 机 的 LAN 通信 








星 的 处 理 可 能 会 








汇聚 交换 机 以 及 核心 交换 机 的 端口 数 需 要 根据 连接 的 接 和 交换 机 以 及 终端 的 数目 来 进行 设 
计 。 机 框 式 核心 交换 机 能 够 通过 增加 线 卡 模块 来 满足 端口 的 后 续 增 加 需求 。 


看 设计 能 够 通过 PoE 来 供电 的 电源 容量 


通过 PoE 供电 技术 对 无 线 LAN 接 入 点 、IP 电话 等 设备 进行 供电 时 ， 需 要 对 能 够 供给 的 电源 
容量 进行 总 体 的 设计 与 规划 ( 表 7-11 )。 











能 够 实施 PoE 供电 的 规格 范例 





Cisco Systems Catalyst 3750 系列 交换 机 






























































WS-C3750E-24PD-S PoE 能 够 供给 420W 的 电能 ， 所 有 24 个 端口 都 能 够 独立 供给 15.4W 的 电能 
WS-C3750E-48PD-SF PoE 能 够 供给 800W 的 电能 ， 所 有 48 个 端口 都 能 够 独立 供给 15.4W 的 电能 






































BUFFALO L2 PoE 智慧 型 交换 机 
































BUFFALO BS-POE-124GMR | PoE 最 多 能 够 供给 30W 的 电能 ，24 个 端口 通过 10/100BASE-TX 线 缆 进 行 共享 





















































07.05.02 ”路 由 器 的 选择 


路 由 天 的 网 络 接口 数目 需要 依据 所 连接 的 网 段 数 量 来 选择 。 
在 以 太 网 中 ， 使 用 的 物理 网 络 接口 数目 只 要 满足 最 低 限 就 可 以 了 ， 可 以 通过 添加 下 行 处 
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的 L2 交换 机 来 增加 网 络 接口 的 数目 ， 也 可 以 使 用 VLAN 中 的 子 网 接口 来 缓解 网 络 接口 不 足 
的 问题 。 

遇 到 以 太 网 之 外 的 协议 网 络 ， 则 需要 考虑 端口 的 数目 。 如 VoIP 需要 用 到 的 RJ-11 端口 ， 
ISDN 相关 的 接口 以 及 ATM、TI/E1、POS 等 网 络 接口 都 需要 配备 同 需 求 相 一 致 的 接口 数 
量 。 大 多 数 路 由 器 产品 都 提供 了 搭载 这 些 接口 的 接口 模块 卡 ， 使 得 后 期 扩容 工作 中 能 够 添 
加 接口 数 。 











07.05.03 防火墙 产品 的 选择 


在 互联 网 网 关 处 设立 防火 墙 时 ， 一 般 需 要 准备 2 个 端口 ， 即 连接 互联 网 的 上 行 端 口 和 连接 内 
部 网 ( Intranet ) 的 下 行 端口 。 这 样 的 连接 方式 称 为 内 联 连接 ( in-line )， 也 是 最 为 传统 的 防火 墙 设 
置 方式 。10 年 之 前 几乎 所 有 的 防火 墙 均 采用 该 设置 方式 ， 传 统 型 的 防火 墙 设备 一 般 也 就 只 配备 
2~4 个 板 载 端口 。 

当前 的 防火 墙 尤其 是 新 一 代 防 火 墙 有 很 多 产品 为 了 保障 安全 性 ， 会 设置 在 内 部 网 中 ， 并 且 同 
时 配备 RJ-45、SFP/SFP+ 等 接口 ， 提 供 8~24 个 网 络 端口 。 如 果 要 使 用 工作 在 内 部 网 中 的 防火 塔 ， 
就 需要 和 网 段 数量 相对 应 的 端口 数 。 
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07.06 ”确认 网 络 设备 的 互 操作 性 


互 操作 性 ( interoperability ) 表示 网 络 中 不 同类 型 的 网 络 设备 互相 连接 后 也 能 够 正常 通信 的 情 
况 ， 也 称 为 互联 性 (interconnectivity )。 

由 于 网 络 设备 一 般 都 实现 了 相同 的 RFC 或 IEEE 等 各 种 标准 或 协议 ， 因 此 不 同 厂商 之 间 的 设 
备 之 间 可 以 说 应 该 是 具备 互联 性 的 。 

但 另 一 方面 ， 往 往 会 有 厂商 独自 实现 一 些 尚 未 标准 化 的 先进 功能 ， 这 类 功能 由 
硬件 上 运行 的 。 

当 需 要 引入 多 个 不 同 广 商 生产 的 网 络 便 件 进行 组 网 时 ， 就 需要 考虑 到 这 些 设备 的 互 操作 性 ， 
并 以 此 作为 选择 设备 的 一 项 重要 依据 。 

像 访问 控制 列表 或 病毒 扫描 等 能 够 在 网 络 硬件 内 部 处 理 ， 无 需 同 网 络 上 其 他 设备 连接 的 功 
能 ， 则 可 以 不 用 考虑 其 互 操作 性 。 

需要 考虑 设备 互 操 作 性 的 功能 种 类 可 以 参考 表 7-12。 
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是 无 法 在 所 有 
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需要 考虑 互 操 作 性 的 功能 种 类 与 范例 
















































































































































































































































































种 类 说 明 范例 
厂商 独自 实现 的 功能 是 同一 厂商 的 硬件 则 无 法 协同 工作 思科 公司 的 HSRP、EIGRP、PAgP 等 
基于 行业 团体 认定 标准 实 | 只 要 接受 了 认证 不 同 厂商 的 产品 也 能 协同 | WiFi 联盟 的 WPA、ICSA 认证 的 站 到 站 
见 的 功能 工作 IPsec-VPN 等 
基于 标准 化 团体 的 草案 标 | 相同 标准 草案 对 应 的 产品 能 够 协同 工作 ， 但 | RFC 草案 、IEEE 802.11n 草案 等 
准 实现 的 功能 标准 化 工作 尚未 完成 ， 可 能 部 分 实现 还 
是 会 因 厂 商 的 不 同 而 不 一 致 
基于 标准 化 团体 的 正式 标 | 任何 厂商 支持 正式 标准 的 硬件 都 可 以 互联 并 | RFC 的 VRRP、RIP、OSPF、BGP、IEEE 
准 实现 的 功能 协同 工作 的 IEEE 802.3ad 等 


























07.07 ”高 可 用 性 的 考量 方法 


MTBF 与 MTTR 


包含 网 络 设 备 的 电气 产品 以 及 计算 机 系统 等 通常 使 用 MTBF ( Mean Time Between Failures， 
平均 故障 间隔 时 间 ) 指标 参数 来 计算 其 出 现 故 障 的 概率 。 

网 络 设备 产品 的 规格 说 明 书 中 一 般 都 会 记载 MTBF 数值 ， 该 参数 以 小 时 (hour ) 为 单位 ， 可 
以 使 用 下 面 这 个 公式 计算 。 











MTBF= 运行 时 间 / 故障 次 数 


在 实际 运用 中 ，MTBF 还 能 够 使 用 预测 法 或 推测 法 计算 出 来 。 

预测 法 之 一 的 产品 积 点 法 首先 会 调查 硬件 内 部 芯片 、 电 容 等 部 件 的 故障 率 信 息 ， 然 后 使 用 系 
数 将 这 些 信息 串联 起 来 计算 出 MTBF 值 。 该 方法 在 产品 开发 的 初级 阶段 也 能 够 算出 成 型 产品 的 
MTBF 参数 值 。 

推测 法 之 一 的 域 数据 计量 法 通过 记录 多 个 样本 数据 ， 观 察 在 相对 较 短 的 时 间 内 有 和 多少 台 设备 
发 生 了 故障 ， 并 以 此 推算 出 MTBF 值 。 例如， 同时 启动 1 万 台 相 同 的 设备 运行 100 个 小 时 ， 这 个 
期 间 如 果 出 现 了 5 台 设 备 故障 ， 则 可 以 通过 “1 万 台 x100 小 时 :5 次 故障 =20 万 小 时 ”这 样 的 
方法 来 计算 得 到 MTBF 值 。 虽然 计 算 1 台 台 设备 运行 至 发 生 第 1 次 故障 的 时 间 值 能 够 同 实际 的 
MTBF 值 更 加 接近 ， 但 这 种 想法 在 现实 中 并 不 具备 可 操作 性 。 
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根据 日 本 厚生 劳动 省 ”的 统计 数据 ,在 平成 19 年 2, 日 本 20 岁 男 性 的 死亡 率 为 0.056% 。 如 果 
将 其 视 为 故障 率 的 话 ，MTBF 值 则 为 “1 :0.00056=1786 年 "。 但 实际 20 岁 男性 的 平均 剩余 寿命 
为 59.08 岁 ， 人 类 的 寿命 也 肯定 超 不 过 1000 年 。 与 此 类 似 ，MTBF 数值 也 同 实际 的 耐用 年 限 没 
有 任何 关系 ， 仅 仅 是 通过 实际 运行 时 间 计 算出 的 故障 率 理论 值 叶 了 ， 这 一 点 需要 注意 。 

故障 率 可 以 通过 MTBF 的 倒数 计算 而 得 。 
































故障 率 =1/MTBF 


MTTR ( Mean Time To Repair， 平 均 修 复 时 间 ) 是 指 系统 发 生 故 障 后 至 修复 完毕 所 花费 的 平 
均 时 间 。 网 络 设备 自身 一 般 不 存在 MTTR 的 概念 ， 但 以 端口 、 模 块 、 机 框 为 单位 、 由 热 备份 或 
冷 备 份 等 元 余 结构 组 成 的 系统 中 则 有 最 小 MTTR 值 的 概念 。 对 于 非 元 余 结构 系统 而 言 ， 则 需要 
考虑 重新 引入 替换 设备 所 花费 的 时 间 以 及 替换 设备 从 输入 设置 到 整 机 局 动 所 花费 的 时 间 等 ， 从 而 
计算 出 MTTR 的 数值 。 

系统 的 运行 概率 可 以 通过 下 面 公 式 计算 而 得 。 
































正常 运行 概率 =MTBF/(MTBF+MTTR) 

















简 而 言 之 ， 就 是 MTBF 值 越 大 而 MTTR 值 越 小 的 系统 可 用 性 更 高 。 


07.08 ”价格 相关 的 考量 方法 


07.08.01 ”端口 单价 


网 络 设备 的 价格 按 端口 数目 来 划分 就 能 够 计算 出 端口 的 单价 。 例 如 ， 某 网 络 设备 价 格 为 240 
万 日 元 ， 若 该 设备 的 端口 数目 为 24 个， 则 单个 端口 的 价格 为 10 万 日 元 。 端 口 的 价格 会 随 着 端口 
速度 的 提高 而 上 浮 ， 若 设备 的 端口 速度 相同 ， 则 设备 价格 还 会 根据 搭载 的 功能 而 有 所 变化 。 对 
于 搭载 的 功能 与 端口 速度 都 相同 的 两 款 产 品 ， 选 择 的 产品 端口 单价 越 低廉 ， 所 获得 的 成 本 收益 
就 越 大。 























GD 相当 于 我 国 国务 院 下 属 的 人 力 资源 和 社会 保障 部 。 
@， 即 公 元 2007 年 。 译 者 注 





译 者 注 
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07.08.02 ”比特 单价 


网 络 设备 的 价格 还 可 以 按照 以 bit/s 为 单位 的 吞吐 率 来 进行 划分 ， 从 而 计算 出 比特 单价 。 例 
如 单价 为 100 万 日 元 的 交换 机 容量 为 10Gbit/s， 则 比特 单价 为 9.3 x 10-5 日 元 。 如 果 处 理 能 力 相 
同 ， 那 么 比特 单价 越 低 的 产品 其 单价 也 就 越 便宜 。 


07.08.03 学 习 成 本 








学 习 成 本 是 指 在 飞人 产品 后 的 1 年 之 内 (或 某 个 固定 期 间 内 ) 使 用 产品 时 所 花费 的 费用 ， 其 
中 包括 支持 费用 、 许 可 证 费用 、 电 费 、 人 力 资源 费用 等 。 


国 许可 证 费用 

许可 证 ( license ) 表示 用 户 能 够 使 用 产品 某 些 功能 的 权力 。 一 旦 购买 了 许可 证 ， 便 能 够 一 直 
使 用 产品 的 该 项 功能 ， 例 如 虚拟 路 由 顺 、 虚 拟 防 火 墙 、 远 程 接 入 VPN、 功 能 升级 等 功能 。 

对 于 反 病 毒 以 及 基于 内 容 的 扫描 等 功能 ， 许 可 证 一 般 是 按 年 发 放 的 ， 即 许可 证 的 有 效 期 为 1 
年 ， 以 后 每 年 都 需要 更 新 ， 这 类 方式 的 许可 证 称 为 订阅 许可 。 订 阅 许可 一 般 也 就 意味 着 需要 支付 
订阅 费 ， 随 着 时 间 的 推移 ， 需 要 定期 更 新 许可 信息 才能 得 到 相关 产品 的 使 用 权利 。 

许可 证 以 及 订阅 许可 有 的 能 够 单独 购买 ， 有 的 则 必须 同 产品 支持 协议 一 同 签订 购买 。 

许可 证 以 及 订阅 许可 的 购买 分 为 “以 机 框 为 单位 ”和 “以 用 户 数 为 单位 ”两 种 类 型 。 

以 机 框 为 单位 表示 1 台 设 备 只 需 购 入 1 份 许可 证 或 订阅 许可 ， 使 用 该 设备 的 功能 时 对 于 设备 
承载 的 用 户 数量 、 会 话 数 目 、 通 信 流 量 均 不 做 限制 。 

以 用 户 数 为 单位 ， 则 表示 根据 设备 产品 具体 的 用 户 数量 来 决定 许可 证 或 订阅 许可 的 价格 ， 用 
户 数 越 多 许可 证 价格 就 越 贵 ， 但 厂商 一 般 都 会 提供 用 户 数量 越 多 用 户 单价 就 越 便宜 的 批量 价格 折 
扣 服 务 。 







































































加 人 力 资源 费用 

用 户 企业 购 入 产品 后 ， 需 要 使 用 多 少 人 力 来 管理 产品 就 决定 了 人 力 资源 所 需 的 费用 。 另 外 ， 
人 力 资源 费用 还 包括 了 在 引入 新 产品 时 进行 教育 培训 的 费用 成 本 。 

使 用 越 是 便捷 的 产品 需要 的 管理 人 员 数 量 也 就 越 少 ， 因 此 能 够 节约 人 力 资源 费用 的 开 文 。 

网 络 产品 人 力 资源 费用 的 价格 还 涉及 到 该 产品 是 否 配备 了 容易 使 用 的 GUI 界面 和 设置 方法 ， 
发 生 问 题 时 是 否 容 易 诊 断 与 区 分 ， 是否 附带 无 偿 或 有 偿 的 培训 以 及 同 第 三 方 网 络 监控 产品 的 互 操 
作 性 情况 等 因素 。 
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画 电能 消耗 量 
如 果 产 品 的 功能 以 及 吞吐 率 相 同 ， 一 般 选 择 消耗 电能 较 少 的 产品 为 好 ， 这 样 才能 节省 长 期 的 
运营 成 本 。 
不 同 网 络 设备 机 型 所 消耗 的 电能 
设备 名 称 最 大 消耗 电能 ( AC 电源 ) 

Cisco Systems CRS-1 ( 高端 路 由 器 ) 8750W 

ALAXALA Networks AX7702R ( 中 端 路 由 呈 495W 

Cisco ISR 3845 ( 中 端 路 由 器 ) 79~360W 



















































































YAMAHA RTX1100 ( 低 端 路 由 器 ) 16W 


























BUFFALO BBR-4HG ( 宽带 路 由 器 ) 3.55W 
Juniper Networks EX4200-24T ( 箱 式 交换 机 ) 六 1 190 ~930W 
Apresia Light GM124GT-SS ( 箱 式 交换 机 ) 注 ? 30W 
BUFFALO BS-G2108UR ( 桌面 型 交换 机 )*， 7.5W 
























































注 1: 交换 机 中 如 果 打 开 PoE 功能 ， 则 会 导致 消耗 电能 的 增加 。 


另外 ,大 多 数 网 络 硬件 一 般 都 使 用 AC (交流 ) 电源 供电 ， 但 也 有 些 产 品 支 持 DC ( 直流 ) 供 
电 。 如 果 设 备 内 部 使 用 AC 方式 供电 ， 就 需要 将 外 部 的 交流 电 转 换 为 内 部 所 需 的 直流 电 ， 这 时 的 
用 电 效 率 会 根据 功率 因子 的 值 而 有 所 下 降 (参考 01.04.12 小 节 中 的 表 1-46 )。 因 此 ， 最 好 直接 使 
用 DC 供电 让 用 电 效率 最 大 化 ， 尤 其 是 数据 中 心 以 及 安全 设备 等 ， 它 们 大 多 都 使 用 了 DC 电源 进 
行 供 电 。 























国 绿色 IT 

为 地 球 环境 着 想 的 开 产品 、IT 基础 设施 ， 以 及 和 环境 保护 、 资 源 的 有 效 利 用 相关 联 的 IT 应 
用 理念 都 可 以 被 称 为 绿色 IT。 

为 了 降低 对 环境 的 负担 ， 现 在 越 来 越 多 的 用 户 企 业 开始 在 置办 网 络 硬件 时 将 绿色 IT 理念 加 
入 到 选 购 条 件 中 ， 例 如 要 求 网 络 硬件 能 够 省 电 或 者 具有 可 回收 性 等 。 

网 络 硬件 中 与 绿色 IT 理念 相关 的 事项 包括 : 设备 的 省 电 程 度 和 降低 发 热 ， 使 用 复合 功能 六 
品 来 百代 多 个 单一 功能 产品 ， 例 如 在 安全 设备 中 使 用 UTM 或 者 在 网 络 中 使 用 虚拟 路 由 器 、 虚 拟 
防火 墙 来 减少 物理 机 框 的 数量 ， 甚 至 使 用 虚拟 化 技术 将 网 络 设备 和 服务 器 产品 统一 整合 等 。 

另外 ,使 用 PoE 等 供电 技术 改善 现 有 供电 设施 以 及 改善 空调 系统 都 属于 绿色 IT 范畴 的 一 
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国 节能 法 案 

节能 法 案 是 “合理 使 用 能 源 的 相关 法 律 ”的 简称 ， 是 日 本 在 石油 危机 ”期 间 于 昭和 54? 年 制 
定 的 法 律 。 该 法 律 则 在 “以 内 部 和 外 部 能 源 为 中 心 、 确 保有 效 使 用 与 经 济 社会 环境 相 适 应 的 燃料 
资源 ”以 及 “为 了 综合 推进 工厂 或 施工 场所 、 运 输 、 建 筑 物 、 机 械 器 具 等 领域 合理 使 用 能 源 而 寻 
求 必要 的 措施 ”。 

目前 市 面 上 的 产品 均 以 节能 法 案 中 描述 的 拥有 最 高 节能 性 能 的 设备 为 基准 ( 领跑 标准 )， 参 
考 整 个 市 场 高 效 使 用 能 源 的 领跑 标准 ， 对 特定 的 硬件 (包括 汽车 以 及 家 电 ) 设置 对 应 的 节能 标 
准 。2009 年 7 月 修订 、 实 施 的 节能 法 案 中 ， 关 于 网 络 硬件 的 特定 设备 中 增添 了 传输 速率 总 和 在 
200Mbit/s 以 下 且 不 配 有 VPN 的 小 型 路 由 器 以 及 工 2 交换 机 ， 并 制定 了 相应 的 领跑 标准 。 同 时 ， 
还 规划 了 对 速度 在 200Mbit/s 以 上 的 路 由 器 以 及 工 3 交换 机 制定 领跑 标准 的 计划 。 

也 有 些 网 络 硬件 产品 会 提供 类 似 于 ALAXALA 网 络 公 司 的 “动态 省 电 ” 这 种 功能 ， 使 设备 
运行 在 省 电 模式 或 是 睡眠 模式 下 从 而 达到 节省 电能 的 目的 。 

根据 日 本 经 济 产业 省 绿色 IT 推进 协会 的 估算 (2008 )，2006 年 开设 备 消 耗 电 能 为 466 亿 
kWh， 其 中 网 络 硬件 大 约 耗 费 了 80 亿 kWh 的 电能 ， 约 占 整个 电能 消耗 的 17%。 估 计 在 2025 年 ， 
整个 IT 设备 消耗 电能 将 达到 2417 亿 kWh， 其 中 网 络 硬件 将 消耗 1033kWh， 占 据 整体 能 耗 的 
43%， 同 2006 年 相 比 ， 大 约 将 增加 13 倍 。 

在 该 背景 下 ， 实 施 网 络 硬 件 节能 对 策 的 呼声 愈 发 高 涨 ， 其 重要 性 也 日 渐 突出 。 













































































07.08.04 支持 的 费用 








大 多 数 网 络 硬件 厂商 尤其 是 海外 设备 商 生产 的 产品 ， 用 户 如 果 想 要 获得 日 后 这 些 产 品 升级 更 
新 的 权利 ， 就 需要 同 厂 商 签订 每 年 的 支持 合同 。 根 据 这 些 文 持 合同 ， 当 软件 或 硬件 发 生 问题 时 ， 
厂商 的 维护 部 门将 无 偿 接 受 问 询 、 向 用 户 提 供 软 件 补丁 或 提供 版 本 升级 。 用 户 向 厂商 维护 部 门 提 
出 的 问 询 称 为 用 户 案例 ( Case ) 或 服务 指派 ( Service Ticket )， 这 些 用 户 案例 或 服务 指派 都 会 分 配 
编号 来 进行 管理 。 

硬件 往往 具有 保修 期 ， 在 该 期 间 如 果 发 生 故 障 ， 那 么 即使 没有 支持 合同 也 能 获得 厂商 提供 的 
无 偿 蔡 换 服务 。 














QD 这 里 指 的 应 该 是 爆发 于 1978 年 底 的 第 二 次 石油 危机 。 世 界 第 二 大 石油 出 口 国 伊朗 的 政局 发 生 剧 烈 变化 ， 亲 美的 温和 
派 国王 巴 列 维 下 台 ， 由 此 引发 了 第 二 次 石油 危机 ， 油 价 在 1979 年 开始 暴涨 ， 从 每 桶 13 美元 猛 增 至 1980 年 的 34 美 
元 s 译 者 注 
@， 即 公元 1979 年 。 








译 者 注 
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07.09 ”达到 采购 条 件 


07.09.01 绿色 采购 





绿色 采购 是 指 具 有 环保 意识 的 用 户 在 采购 时 着 重 考量 产品 在 节省 能 源 、 节 省 资源 、 禁 止 或 
减少 有 害 化 学 物质 、 产 品 回收 等 情况 ， 优 先 采 购 零 部 件 、 使 用 材料 和 包装 都 符合 环境 保护 需求 
的 产品 。 

绿色 采购 不 仅 要求 供 应 商 采 取 环 境 保 护 的 管理 措施 ， 而 且 对 产品 的 使 用 材料 也 有 一 定 的 














供应 商 采 取 的 环境 保护 管理 措施 

) 构 建 以 ISO14000 为 基础 的 环境 管理 体制 。 
实施 绿色 采购 ( 或 已 有 开始 实施 的 计划 )。 
掌握 产品 用 料 的 化 学 物质 成 分 并 配 有 相应 的 管理 体系 。 































































































能 够 配合 用 户 企业 对 其 购买 产品 的 用 料 进 行 化 学 物质 调查 。 
配合 用 户 企业 降低 产品 使 用 对 环境 的 负担 。 



























































对 产品 用 料 的 要 求 事项 
不 含有 标准 规定 的 禁用 物质 成 分 ， 或 者 产品 制造 过 程 中 没有 使 用 标准 规定 的 工程 禁用 物质 。 
对 于 标准 中 虽 未 禁止 但 定义 为 “指定 化 学 物质 ”的 成 分 需要 提供 详细 信息 。 
明确 告知 产品 部 件 及 构成 材料 使 用 的 材质 信息 。 

使 用 塑料 成 型 品 时 ， 尽 可 能 标明 其 在 JIS K6899、JISK6899-2 以 及 JIS K6999 等 清单 中 记载 的 材料 编号 信息 。 
采用 减少 消耗 电能 与 轻便 化 等 节省 能 源 和 资源 的 设计 。 

产品 包装 使 用 易 回 收 的 材料 或 对 环境 负担 较 小 的 材料 ( 例如 : 聚 乙烯 、 聚 茶 乙 烯 、 聚 酯 、 降 解 塑 料 等 )。 









































































































































































































































07.09.02 符合 RoHS 要 求 


RoHS ( Restriction ofthe use of certain Hazardous Substances， 在 电子 电气 产品 中 限制 使 用 某 些 
有 害 物 质 的 指令 ) 是 指 欧盟 在 电气 、 电 子 设 备 中 限制 使 用 特定 有 害 物 质 的 相关 法 案 。 

该 法 案 规 定 在 欧盟 境内 销售 的 网 络 硬件 必须 符合 该 项 标准 ， 但 在 日 本 也 常常 会 要 求 采购 的 产 
品 必须 符合 RoHS 相关 规定 ， 不 含有 指定 的 有 害 物 质 。 














RoHS 指令 中 提 到 的 有 害 物 质 














全 1,000ppm 以 下 
水 银 1,000ppm 以 下 
锅 100ppm 以 下 
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六 价 铬 1,000ppm 以 下 
多 溴 联 茶 ( PBB ) 1,000ppm 以 下 




















多 省 二 茶 醚 ( PBDE ) 1,000ppm 以 下 


07.09.03 ”加 密 出 口 管理 相关 


长 度 超过 56bit 的 共享 密 钥 加 密 技术 ,或 者 长 度 超过 512bit( 椭圆 加 密 等 算法 中 为 112bit ) 的 
公开 密 钥 加 密 技 术 ， 无论 使 用 哪 种 加 密 技 术 的 加 密 装 置 在 运 出 日 本 或 提供 给 国内 外 的 非 长 住 居 民 2 
时 ， 必 须 符合 “外 汇 及 对 外 贸易 管理 法 ”中 出 口 许可 的 相关 规定 或 办 理 了 相关 业务 许可 手续 。 但 
是 ,根据 加 密 出 口 相关 的 行政 命令 和 通告 ， 若 满足 一 定 的 条 件 也 可 以 省 去 申请 出 口 许可 的 过 程 。 

实现 IPsec-VPN 或 SSL-VPN 的 产品 因为 使 用 的 是 长 度 在 128~256bit 的 AES 共享 密 钥 ,或 者 
长 度 在 1024~2048bit 之 间 的 RSA 公开 密 钥 ， 因 此 在 出 口 时 必须 申请 有 关 的 许可 。 

今后 相关 法 令 还 会 有 所 变更 ， 因 此 在 出 口 涉及 加 密 技术 的 装置 时 ， 需 要 确认 一 下 是 否 符 合 相 
关 法 律 的 要 求 。 












































07.10 ”售后 支持 相关 的 基础 知识 


07.10.01 网 络 硬 件 的 维护 


宽带 路 由 需 以 及 一 部 分 的 低 端 路 由 器 都 是 由 用 户 在 家 电 专 卖 店 或 互联 网 电子 商务 网 站 处 购 得 
并 亲自 设置 ， 随 后 用 于 维护 的 更 新 软件 也 是 通过 厂商 的 支持 主页 下 载 并 且 自 行 安装 升级 。 

男 一 方面 ， 用 于 企业 或 服务 供应 商 的 网 络 硬 件 的 购 入 渠道 则 多 数 为 销售 代理 商 (售后 维护 
方 )， 设备 维护 相关 的 工作 也 与 销售 代理 商 密切 相关 。 

当 用 户 在 使 用 网 络 硬件 产品 时 遇 到 软 硬 件 问题 时 ,会 咨询 相应 的 销售 代理 商 。 销 售 代理 商 收 
到 来 自用 户 的 反馈 问题 后 ， 会 调查 是 否 为 常规 已 知 问题 ， 如 果 是 未 知 问题 ， 就 会 联系 产品 的 厂商 
来 协同 解决 。 






























































Q@ 非 长 住 居民 包括 国外 滞留 2 年 以 上 的 上 日 本 人 、 为 在 外 国事 务 所 工作 而 出 国 并 留 在 国外 的 日 本 人 、 在 国外 居住 的 外 国 
人 、 国 外 的 外 国法 人 、 日 本 法 人 的 外 国 分 分 支 机 构 等 。 
@) 中国 国内 大 都 也 采取 类 似 的 商业 模式 。 译 者 注 
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国 现场 维护 
所 谓 的 现场 ， 是 指 放置 网 络 设备 的 地 方 。 现 场 维护 是 用 户 与 代理 商 所 签 合 同 中 的 一 项 条 款 ， 
表示 当 人 硬件 发 生 故 障 时 ， 销 售 设备 的 代理 商会 将 替换 设备 配送 到 用 户 放置 设备 的 地 方 ， 并 在 现场 


























完成 相关 配置 ( 表 7-15 )。 当 发 生 故 障 时 ， 代 理 商 赶赴 设备 现场 的 时 间 将 根据 维护 费用 的 不 同 而 
有 所 差异 。 


EB 现场 维护 的 应 对 时 间 范 例 




































































菜单 内 容 说 明 
作 日 4 小 时 内 应 对 ' ”| 。 服务 受 理 时 间 ， 星期 一 ~ 星期 五 ( 8:45~17:30 )， 不 包括 节假日 以 及 年 末年 初 ( 12/30~1/3 ) 
时 段 


9 现场 应 对 时 间 : 4 小 时 内 应 对 
收 到 用 户 企业 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 4 小 时 内 赶赴 设备 所 在 地 ， 实 
施 硬件 修复 工作 。 只 在 工作 日 的 8:45 至 17:30 之 间 受 理 用 户 的 报 障 

365 天 4 小 时 内 应 对 *' ”| 。 服务 受 理 时 间 : 365 天 24 小 时 
9 现场 应 对 时 间 : 4 小 时 内 应 对 
亡 收 到 用 户 企业 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 4 小 时 内 赶赴 设备 所 在 地 ， 实 
施 硬 件 修复 工作 
次 日 应 对 e 服务 受理 时 间 : 星期 一 ~ 星期 五 ( 8:45~17:30 )， 不 包括 节假日 以 及 年 末年 初 ( 12/30~1/3 ) 





























































































































































































































e 现场 应 对 时 间 : 下 一 个 工作 日 
收 到 用 户 企业 关于 硬件 故障 的 联络 信息 后 ， 维 护 方 会 在 下 一 个 工作 日 的 8:45 至 17:30 

J 赶赴 设备 所 在 地 ， 实 施 硬件 设备 修复 工作 。 只 在 工作 日 的 8:45 至 17:30 之 间 受 
里 用 户 的 报 障 


注 1: 该 条 款 中 的 4 小 时 内 应 对 ， 仅 限于 维护 方 能 够 到 达 的 地 理 范围 以 内 。 
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国 退 返 维 护 

退 返 (send back ) 维护 合同 条 款 表示 当 用 户 发 现 硬件 存在 故障 时 ， 由 用 户 将 有 故障 的 设备 退 
回 (send ) 到 销售 代理 商 处 ， 随 后 销售 代理 商 将 维修 好 的 产品 或 同等 商品 再 返 送 ( back ) 回 用 户 
处 。 设 备 的 蔡 换 以 及 对 蔡 换 设备 进行 的 设置 由 用 户 完 成 。 






































国 预 送 退 返 维护 
预 送 退 返 维护 合同 条 款 是 指 当 设备 出 现 故障 时 ， 由 销售 代理 商 预先 送出 替换 设备 ( 预 送 )， 
由 用 户 完成 设置 。 用 户 则 在 更 换 设备 后 将 故障 设备 退回 到 销售 代理 商 。 








07.10.02 厂商 保修 


同 其 他 的 电气 产品 一 样 ， 路 由 带 中 的 软 硬 件 也 会 由 生产 厂商 提供 售后 保修 。 不 同 产品 的 保修 





图 灵 社 区 会 员 WisdomFusion(664009005@qq.com) 专 享 尊重 版 权 





362 | 第 7 章 网 络 硬件 设备 的 选 购 要 点 





期 也 不 同 ， 但 大 多 数 产品 的 保修 期 都 为 1 年 。 在 保修 期 内 ， 如 果 产 品 硬件 出 现 故 障 ， 厂 商会 免费 
提供 修理 或 替换 ， 以 及 软件 版 本 升级 的 服务 。 

路 由 吉 在 网 络 中 属于 骨干 产品 ， 使 用 时 间 几 乎 都 会 超过 1 年 。 保 修 期 1 年 过 后 ， 产 品 发 生 故 
障 却 无 法 修理 或 替换 ， 发 现 软件 存在 bug 却 无 法 修复 就 会 成 为 令 用 户 烦 恼 的 问题 。 因 此 ， 用 户 一 
般 都 会 每 年 ， 或 者 以 3 年 或 5 年 为 期 限 同 厂 商 或 销售 代理 商 签订 维护 合同 。 通 常 这 一 类 的 维护 合 
同 需 额外 支付 一 定 的 费用 ,但 在 维护 合同 期 限 内 厂商 都 会 免费 提供 软件 版 本 升级 以 及 免费 修理 或 
替换 硬件 的 服务 。 

ee 从 产品 到 岸 后 的 3 个 月 (90 天 ) 之 内 ， 如 果 发 现 硬 件 存 在 缺 
陷 ， 能 够 以 DoA (Dead on Arrival， 到 货 即 损 ) 为 由 提出 替换 设备 的 申请 。 如 果 在 以 后 的 时 
由 则 需要 执行 名 为 RMA ( Return Material Authorization， 退 货 授 权 ) 的 故障 产品 


日 人 化、 
退货 流程 。 
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